漫游螳螂金融黑客攻击法国安卓和iPhone用户

移动威胁活动跟踪为漫游螳螂数月前，该公司将目标扩大到欧洲国家，与针对法国手机用户的新一波妥协有关。

Sekoia在上周发布的一份报告中称，作为主动恶意软件操作的一部分，至少有70000台Android设备被感染。

众所周知，涉及漫游螳螂的攻击链要么部署一个名为MoqHao（又名XLoader）的银行特洛伊木马，要么将iPhone用户重定向到模仿iCloud登录页面的凭证获取登录页面。

Sekoia研究人员说：“MoqHao（又名Wroba，Android的XLoader）是一种Android远程访问特洛伊木马（RAT），具有信息窃取和后门功能，可能通过短信传播”。

如果收件人位于法国境外，并且设备操作系统既不是Android也不是iOS，通过检查IP地址和用户代理字符串确定的因子，服务器设计为使用“404未找到”状态代码进行响应。

研究人员指出：“因此，smishing活动是地理隔离的，目的是安装安卓恶意软件，或收集苹果iCloud凭据”。

MoqHao通常使用通过动态DNS服务Duck DNS生成的域作为其第一阶段交付基础设施。此外，恶意应用程序伪装成Chrome web浏览器应用程序，诱骗用户授予其入侵权限。

间谍软件特洛伊木马使用这些权限，提供了与受感染设备远程交互的途径，使对手能够秘密获取敏感数据，如iCloud数据、联系人列表、通话记录、SMS消息等。

Sekoia还评估说，收集的数据可能被用于促进敲诈勒索计划，甚至被出售给其他威胁行为体牟利。“90000多个独特的IP地址请求C2服务器分发MoqHao，”研究人员指出。