1年前，研究人员就对Roaming Mantis攻击活动进行过分析。今年2月，研究人员检测到该攻击活动的新动向，本文主要介绍工具和技术方面的更新。

Apple钓鱼的mobile config

研究人员的重要发现之一就是攻击者继续寻找方法来入侵iOS设备，并为iOS用户构建了新的加载页面。当iPhone用户访问该加载页时，就会看到一个弹窗消息指导用户进行恶意的iOS mobile config文件安装：

弹出消息和恶意mobile config文件安装

Mobile config安装完成后，钓鱼页面会自动在web浏览器中打开，并收集设备的相关信息发送到攻击者的服务器。收集的信息包括DEVICE_PRODUCT, DEVICE_VERSION, UDID, ICCID, IMEI和MEID。

mobile config中的XML和CA

CA中含有疑似开发者的邮件地址[email protected][.]jp。

研究人员创建了一个测试账号，并用该账号凭证进入钓鱼网站。当攻击者接收到ID和密码后，犯罪分子就尝试从中国香港登陆该账号。在输入凭证后，研究人员进入了下一个页面，该页面会尝试窃取发送给设备的双因子认证码（PIN）。

窃取apple ID和双因子认证的钓鱼页面

再次传播sagawa.apk Type A (MoqHao/XLoader)

在安卓端，研究人员发现一大波恶意APK文件正在传播，即Trojan-Dropper.AndroidOS.Wroba.g。

sagawa.apk Type A从2月26日开始传播

研究人员分析恶意APK文件后确认这是sagawa.apk Type A恶意软件的一个变种，也叫做MoqHao (Mcafee)或XLoader (TrendMicro)。Type A恶意软件之前就在日本通过SMS进行传播。

研究人员还发现攻击者入侵了路由器来重写DNS设置，而且还更新了2个特征：

· 一是木马释放模块中加密payload的解密算法

· 二是保存的地址和用于获取真实C2的账号

木马释放模块中加密payload的解密算法

与之前版本相比，木马释放期的解密函数有所改变（修改的部分见图中紫色部分）：

在反编译的代码中增加了4个字节的跳过

攻击者为什么要这么做呢？研究人员猜测攻击者在解密算法上做出了一些改变以绕过安全产品和研究人员的检测。

研究人员已经根据这一改变更新了用于解密的python脚本：

sagawa.apk_typeA_payload_extractor_1.01.py
 #!/usr/bin/env python
 
import sys
import zlib
import base64
 
data = open(sys.argv[1],"rb").read()
dec_z = zlib.decompress(data[4:])            # open.skip(4);
dec_b = base64.b64decode(dec_z)
 
with open(sys.argv[1]+".dec","wb") as fp:
    fp.write(dec_b)

保存的地址和用于获取真实C2的账号

在之前的攻击活动中，有@outlook.com的3个账户“haoxingfu11”, “haoxingfu22”和“haoxingfu33”保存在样本中来提取C2服务器的地址。为了取回C2服务器的地址，邮件服务使用的是真实的C2目的地址，但是是以加密形式出现在邮件的主题subject区域。在新变种中，攻击者使用twitter来提取C2地址。

https://twitter.com/%s保存在恶意软件中

研究人员分析发现了3个可疑的twitter账户，样本中的账号ID和twitter账号是一起保存的，只使用|字符分割来：

用“|”分割的账号ID

恶意软件会通过web socket来连接到提取的真实C2地址，除此以外，研究人员还发现了其他几个账号：

· lucky88755

· lucky98745

· lucky876543

· gyugyu87418490

· luckyone1232

· sadwqewqeqw

从中文字符中提取真实C2地址的解密算法和之前是一样的。所有账号都与相同的IP地址关联，不同的是端口号。下表说明了账号@luckyone1232中提取的变化。

研究人员注意到攻击者还引入了一个新的后门命令getPhoneState。下表对恶意软件不同版本进行了比较。

在被黑的路由器上修改DNS设置

去年2月，研究人员检测到恶意DNS修改器的URL查询，示例如下：

恶意DNS修改器的URL查询

如果设备从本地网络在下面的条件下读取DNS修改器的URL查询，那么路由器的DNS设备可能就被修改了：

· 从本地网络中路由器面板没有认证

· 设备有对路由器面板的admin会话

· 简单ID和密码，admin:admin

研究人员发现有上百个路由器被黑了，都指向恶意DNS IP：

· 171.244.33[.]114

· 171.244.33[.]116

地理位置分布

下图是卡巴斯基安全产品检测到的2月25日-3月20日期间sagawa.apk Type A新变种的数量和地理位置分布。

攻击活动的地理位置分布

受影响最大的国家是俄罗斯、日本、印度、印度、孟加拉、哈萨克斯坦、阿塞拜疆、伊朗和越南。卡巴斯基产品检测到恶意软件在这段时间感染了超过950个用户，检测次数超过6800次。研究人员相信这只是攻击活动的冰山一角。

总结

从2019年2月起，研究人员发现sagawa.apk Type A快速传播，这波攻击是使用恶意mobile config来进行钓鱼攻击的新攻击方法。研究人员发现恶意的mobile config会给用户带来非常严重的安全问题。因此，研究人员建议用户：

· 修改默认的ID和密码，应用相关安全补丁来应对此类威胁；

· 对安卓用户，不要从第三方源下载APK文件；

· 对iOS用户，不要安装不可信的第三方mobile config。

研究人员之前对Roaming Mantis的分析参见：

Roaming Mantis uses DNS hijacking to infect Android smartphones, https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/85178/

Roaming Mantis dabbles in mining and phishing multilingually, https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/

Roaming Mantis, part III: iOS crypto-mining and spreading via malicious content delivery system, https://securelist.com/roaming-mantis-part-3/88071/