Ursprünglich veröffentlicht am 1. April 2020
Auf geht's Bedrohungsabwehr in Censys! In diesem Fall sind wir auf der Suche nach RoamingMantis, einer mobilen Banking-Bedrohung, die Benutzer durch die Änderung lokaler DNS-Einstellungen für weiteren Endpunktmissbrauch beeinträchtigt. DNS-Changer-Malware ist nicht neu, aber RoamingMantis ist ein neuer Verbreitungsweg.
Über einen Tweet eines japanischen Forschers @ninoseki habe ich mir zunächst das C2 angeschaut und nach Anzeichen für etwas Einzigartiges dort gesucht. Da tut sich nicht viel, ziemlich spartanisch und so. Die Suche nach ein paar einzigartigen Leckerbissen in Censys ergab nichts.
Wenn wir uns diese IP in Censys ansehen, sehen wir jedoch etwas Einzigartiges an der Seite. Auf den ersten Blick sieht sie aus wie die Seite des USPS (US Postal Service), aber dann stößt man auf dieses JavaScript-Snippet.
Bingo - er identifiziert das Gerät über den User-Agent-String und sucht nach einem mobilen Gerät. Wenn es eines findet, versucht es, eine APK zu laden.
Bei der Suche nach dieser Zeichenfolge - derjenigen, die die Datei "post.apk" lädt - finden wir einige Hosts, darunter unseren ursprünglichen Host 216.198.66.107. Über eine Drittanbieterseite für passive DNs können wir auch sehen, welche URLs und Domänennamen zu diesen IP-Adressen aufgelöst wurden.
Auf der OTX-Website von AlienVault - einer von der Community betriebenen Plattform für Bedrohungsdaten - finden Sie einige interessante Details zu diesen IPs, einschließlich Namen und URLs:
Und so können wir die Berichte über Bedrohungsdaten ergänzen, indem wir selbst Nachforschungen anstellen und dann Suchmaschinen wie Censys und andere nutzen, um unsere Erkenntnisse zu ergänzen und unsere eigenen Bedrohungsdaten zu erstellen.
Weitere Referenzen:
- Roaming Mantis, Teil V, SecureList 27. Februar 2020
- Wandernde Gottesanbeterin aus New Jersey Cyber
- Hunderte Opfer der jüngsten Roaming Mantis-Kampagne von SecurityWeek
- Roaming Mantis schwärmt weltweit aus und verbreitet iOS-Phishing und Cryptomining von ThreatPost
- Treffen Sie die Roaming Mantis, die weltweit am weitesten verbreitete Smartphone-Malware-Bedrohung von BW World Online
- Roaming Mantis"-Android-Malware entwickelt sich weiter und erweitert die Ziele von Dark Reading
- Bösartige Umleitungskampagne von Roaming Mantis nutzt Android-, iOS- und PC-Nutzer aus SC Magazine