Roaming Mantis最新活动:iOS加密货币挖矿+通过恶意内容分发系统传播
字数 1576 2025-08-20 18:18:17

Roaming Mantis恶意活动分析与防护指南

一、Roaming Mantis组织概述

Roaming Mantis是一个活跃的网络犯罪集团,最初通过存在漏洞的路由器进行DNS劫持来传播恶意安卓应用(MoqHao和XLoader)。该组织具有以下特点:

  • 快速进化:恶意软件支持27种语言,覆盖亚洲、欧洲和中东大部分国家
  • 多平台攻击:同时针对Android和iOS设备
  • 多样化攻击手段:包括DNS劫持、钓鱼、加密货币挖矿等
  • 全球范围活动:受害者遍布多个国家和地区

二、攻击技术分析

1. 针对iOS设备的攻击演变

原始攻击方式

  • 使用伪造的Apple钓鱼站点窃取用户凭证

新型攻击方式(加密货币挖矿)

  • 修改恶意加载页HTML代码,加入web挖矿脚本
  • 攻击特征:
    • 关闭重定向到钓鱼页面
    • 加入CoinHive等挖矿脚本
    • 访问时浏览器显示空白页但CPU使用率飙升到90%

攻击者行为特点

  • 测试阶段:短暂使用挖矿方式后恢复钓鱼页面
  • 推测动机:测试不同获利方式的效率

2. 地域过滤机制

  • 新增日文环境过滤功能
  • 可能原因:减缓日本目标的感染速度或规避检测

3. 恶意软件分发系统

sagawa.apk传播机制

  • 通过伪装为日本快递公司的钓鱼SMS传播
  • SMS中包含恶意URL,点击后下载安装sagawa.apk
  • 发现两种样本类型:

Type A特征

  • 多语言支持
  • 监控SMS信息和窃取数据

Type B特征

  • 专门针对日本用户
  • 显示日文硬编码字符串
  • 检查是否安装日本预付卡应用"Au Wallet"
    • 如已安装,则下载伪造的"更新版本"

prezi.com传播机制

  • 利用Prezi在线演示服务传播垃圾邮件
  • 伪造页面显示"免费内容"链接(成人视频、游戏、音乐等)
  • 使用社会工程技巧诱导用户访问恶意站点
  • 当前样本存在代码错误未能执行

4. 数据窃取分析

从受害者设备窃取的数据类型:

  • 基础信息:电话号码、IP地址、设备语言
  • 账户凭证:email/id、密码
  • 个人信息:姓名、出生日期、地址
  • 财务信息:信用卡数据、银行信息
  • 安全信息:中文密保问题及答案

数据统计:

  • 仅7月份就有超过4800条记录
  • 受害者语言分布:
    • 英文:39%(可能作为第二语言广泛使用)
    • 韩语
    • 俄语

三、技术细节与工具

1. sagawa.apk payload提取工具

Type A样本提取脚本

#!/usr/bin/env python
import sys
import zlib
import base64

data = open(sys.argv[1], "rb").read()
dec_z = zlib.decompress(data)
dec_b = base64.b64decode(dec_z)

with open(sys.argv[1] + ".dec", "wb") as fp:
    fp.write(dec_b)

Type B样本提取脚本

#!/usr/bin/env python
import sys
from Crypto.Cipher import AES, ARC4
import base64

data = open(sys.argv[1], "rb").read()
key = sys.argv[2]
aes_key = base64.b64decode(key)  # key是H8chGVmHxKRdjVSO14Mvgg== in libkao.so
aes = AES.new(aes_key)
dec = aes.decrypt(data)

with open(sys.argv[1] + ".dec", "wb") as fp:
    fp.write(dec)

四、防护建议

1. 针对普通用户的防护措施

Android用户

  • 关闭"允许安装未知来源应用"选项
  • 警惕来自未知发件人的SMS消息,特别是包含链接的
  • 不点击可疑链接,尤其是声称来自快递公司等机构的

iOS用户

  • 注意设备异常发热或卡顿(可能是挖矿脚本运行迹象)
  • 不信任非官方渠道的Apple相关登录页面

通用建议

  • 安装可靠的安全软件并保持更新
  • 定期检查设备异常行为(如电池消耗过快)
  • 对要求输入敏感信息的网站保持警惕

2. 针对企业/组织的防护建议

  • 监控网络中的异常DNS请求
  • 部署终端防护解决方案检测挖矿行为
  • 对员工进行安全意识培训,特别是识别钓鱼消息
  • 实施网络分段,限制潜在感染扩散

3. 针对研究人员的监测建议

  • 关注prezi.com等合法服务被滥用的情况
  • 监控sagawa.apk等恶意软件的新变种
  • 分析恶意样本时注意地域针对性特征
  • 跟踪加密货币挖矿脚本的传播渠道

五、总结与展望

Roaming Mantis组织持续进化其攻击手法:

  1. 从单纯的钓鱼攻击发展为结合加密货币挖矿
  2. 利用第三方服务(如prezi.com)构建传播渠道
  3. 可能租用恶意软件分发生态系统扩大感染范围

未来可能发展方向:

  • 进一步优化挖矿脚本的效率
  • 扩大针对iOS设备的攻击方式
  • 开发更隐蔽的传播渠道
  • 增强恶意软件的反分析能力

研究人员需持续关注该组织的活动变化,及时更新防护策略。

Roaming Mantis恶意活动分析与防护指南 一、Roaming Mantis组织概述 Roaming Mantis是一个活跃的网络犯罪集团,最初通过存在漏洞的路由器进行DNS劫持来传播恶意安卓应用(MoqHao和XLoader)。该组织具有以下特点: 快速进化 :恶意软件支持27种语言,覆盖亚洲、欧洲和中东大部分国家 多平台攻击 :同时针对Android和iOS设备 多样化攻击手段 :包括DNS劫持、钓鱼、加密货币挖矿等 全球范围活动 :受害者遍布多个国家和地区 二、攻击技术分析 1. 针对iOS设备的攻击演变 原始攻击方式 使用伪造的Apple钓鱼站点窃取用户凭证 新型攻击方式(加密货币挖矿) 修改恶意加载页HTML代码,加入web挖矿脚本 攻击特征: 关闭重定向到钓鱼页面 加入CoinHive等挖矿脚本 访问时浏览器显示空白页但CPU使用率飙升到90% 攻击者行为特点 测试阶段:短暂使用挖矿方式后恢复钓鱼页面 推测动机:测试不同获利方式的效率 2. 地域过滤机制 新增日文环境过滤功能 可能原因:减缓日本目标的感染速度或规避检测 3. 恶意软件分发系统 sagawa.apk传播机制 通过伪装为日本快递公司的钓鱼SMS传播 SMS中包含恶意URL,点击后下载安装sagawa.apk 发现两种样本类型: Type A特征 : 多语言支持 监控SMS信息和窃取数据 Type B特征 : 专门针对日本用户 显示日文硬编码字符串 检查是否安装日本预付卡应用"Au Wallet" 如已安装,则下载伪造的"更新版本" prezi.com传播机制 利用Prezi在线演示服务传播垃圾邮件 伪造页面显示"免费内容"链接(成人视频、游戏、音乐等) 使用社会工程技巧诱导用户访问恶意站点 当前样本存在代码错误未能执行 4. 数据窃取分析 从受害者设备窃取的数据类型: 基础信息:电话号码、IP地址、设备语言 账户凭证:email/id、密码 个人信息:姓名、出生日期、地址 财务信息:信用卡数据、银行信息 安全信息:中文密保问题及答案 数据统计: 仅7月份就有超过4800条记录 受害者语言分布: 英文:39%(可能作为第二语言广泛使用) 韩语 俄语 三、技术细节与工具 1. sagawa.apk payload提取工具 Type A样本提取脚本 Type B样本提取脚本 四、防护建议 1. 针对普通用户的防护措施 Android用户 : 关闭"允许安装未知来源应用"选项 警惕来自未知发件人的SMS消息,特别是包含链接的 不点击可疑链接,尤其是声称来自快递公司等机构的 iOS用户 : 注意设备异常发热或卡顿(可能是挖矿脚本运行迹象) 不信任非官方渠道的Apple相关登录页面 通用建议 : 安装可靠的安全软件并保持更新 定期检查设备异常行为(如电池消耗过快) 对要求输入敏感信息的网站保持警惕 2. 针对企业/组织的防护建议 监控网络中的异常DNS请求 部署终端防护解决方案检测挖矿行为 对员工进行安全意识培训,特别是识别钓鱼消息 实施网络分段,限制潜在感染扩散 3. 针对研究人员的监测建议 关注prezi.com等合法服务被滥用的情况 监控sagawa.apk等恶意软件的新变种 分析恶意样本时注意地域针对性特征 跟踪加密货币挖矿脚本的传播渠道 五、总结与展望 Roaming Mantis组织持续进化其攻击手法: 从单纯的钓鱼攻击发展为结合加密货币挖矿 利用第三方服务(如prezi.com)构建传播渠道 可能租用恶意软件分发生态系统扩大感染范围 未来可能发展方向: 进一步优化挖矿脚本的效率 扩大针对iOS设备的攻击方式 开发更隐蔽的传播渠道 增强恶意软件的反分析能力 研究人员需持续关注该组织的活动变化,及时更新防护策略。