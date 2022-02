La campagna di malware Roaming Mantis per Android si è diffusa in Europa, infestando rapidamente in particolare la Francia, dove a gennaio sono stati scaricati 66.789 trojan di che permettono l’accesso remoto (RAT).

La campagna fa in modo che il virus RAT Android noto come Wroba (aka Moqhao o XLoader) si inffiltri sui dispositivi delle vittime. Secondo una ricerca di Kaspersky, è stato aggiornato con la possibilità di esfiltrare immagini e gallerie da un dispositivo, il che potenzialmente apre la strada al prelievo di informazioni sensibili da cose come patenti di guida o uso abusivo dei codici QR archiviati per servizi di pagamento.

Roaming Mantis è in movimento dal 2018, osservato principalmente in Giappone, Corea del Sud e Taiwan. Ora, il suo arrivo in Francia ha portato quel paese a vedere il più alto volume di attacchi in tutto il mondo, secondo i ricercatori di Kaspersky. Ci sono stati rilevamenti anche in Germania.

Come funziona questo attacco

“Gli attacchi si concentrano sull’espansione dell’infezione tramite lo smishing agli utenti in Europa“, hanno osservato i ricercatori di Kaspersky in un articolo di lunedì. “La campagna in Francia e Germania è stata così attiva da attirare l’attenzione della polizia tedesca e dei media francesi“.

La campagna in genere si diffonde tramite “smishing“, ovvero phishing basato su SMS, di solito impersonando Google Chrome o un’entità specifica come Yamato Transport in Giappone.

“In genere, i messaggi smishing contengono una descrizione molto breve e un URL a una pagina di destinazione“, hanno spiegato. “Se un utente fa clic sul collegamento e apre la pagina di destinazione, ci sono due scenari: gli utenti iOS vengono reindirizzati a una pagina di phishing che imita il sito web ufficiale di una società, mentre il malware Wroba viene scaricato su dispositivi Android”.

Il Wroba RAT ha una funzione che controlla la regione del dispositivo infetto per visualizzare una pagina di phishing nella lingua corrispondente. In passato, ha verificato le regioni asiatiche, ma sono state aggiunte anche Germania e Francia, secondo Kaspersky.

È interessante notare che i ricercatori hanno anche scoperto che per le regioni non targetizzate, la pagina di destinazione blocca la connessione dall’indirizzo IP di origine, quindi l’utente riceve solo una falsa pagina di errore “404“.

