Kaspersky, daha ilkin çoğunlukla Asya bölgesini hedefleyen Roaming Mantis adlı fena niyetli bir operasyonun Almanya ve Fransa’daki yeni hedefleri etken olarak smishing (kısa mesajla meydana getirilen phishing) yöntemiyle enfekte ettiğini keşfetti. Operasyonun arkasındaki erkek oyuncu, hedeflerin hususi bilgilerini toplamak ve paralarını çalmak için mobil fena amaçlı yazılımları ve kimlik avı sayfalarını yayıyor. Etkilenen aygıt hemen sonra kullanıcının şahıs listesini ve öteki kaynakları kullanarak bir sonraki hedef grubuna SMiShing mesajları gönderiyor.
Nisan 2018’de Kaspersky araştırmacıları Roaming Mantis’i ilk kez keşfetti. O zamanlar siber suçlular yalnızca Android akıllı telefonları hedefliyordu ve çoğunlukla Asya bölgelerini (Cenup Kore, Bangladeş ve Japonya) hedef alıyordu. Operasyon kısa sürede mühim seviyede gelişti ve 2018’den beri kimlik avı, madencilik, smishing ve DNS ele geçirme benzer biçimde çeşitli hücum şekillerinde kullanılır oldu. Grup şimdi ana hedef bölgelerine Avrupa ülkelerini de ilave ederek coğrafyasını genişletti.
Genel olarak smishing mesajları fazlaca kısa bir izahat ve bir açılış sayfasının URL’sini ihtiva eder. Kullanıcı bağlantıyı tıklar ve açılış sayfasına girerse, Roaming Mantis operasyonu iki senaryodan birini işleme alır. İlk senaryoda şahıs iOS kullanıcısıysa, resmi Apple internet sayfasını yansılamak eden bir kimlik avı sayfasına yönlendirilir ve kimlik bilgilerini girmeleri istenir. İkinci senaryoda smishing mesajındaki bağlantıya tıklandıktan sonrasında Android cihaza fena amaçlı yazılım bulaşır. Peşinden saldırgan hem kullanıcının şahıs listesinden hem de oluşturulan telefon numaralarından virüslü aygıt vasıtasıyla yeni hedeflere SMiShing mesajları göndermeye adım atar. Kişisel bir yazışma kanalı olarak SMS metinleri, kullanıcılar çoğu zaman tanıdıklarından fena niyetli bir bildiri almayı beklemediklerinden kişinin tehditlere karşı savunmasını da naturel olarak düşürür. Fransa ve Almanya’da hem iOS hem de Android kullanıcılarına yönelik bu operasyon o denli popülerdi ki, polis ve mahalli medya SMiShing ikazları yayınladı.
Saldırgan, bir kimlik avı sayfasını ilgili dilde görüntülemek için virüslü Android aletinin bölgesini denetim edecek şekilde bir özellik kuruyor. Bu özellik önceki sürümlerde yalnızca üç bölgeyi denetlemek için kullanılıyordu: Hong Kong, Tayvan ve Japonya. Kaspersky uzmanları, yük bölümünün son olarak sürümünde bir güncelleme gözlemledi ve Almanya ve Fransa’nın yeni bölgeler olarak eklendiğini keşfetti. Hedeflerin ana dilini kullanmak, aktörün kullanıcının karar verme sürecini manipüle etmesine izin veriyor ve onları kişisel bilgilerini ve banka ayrıntılarını paylaşmaya ikna ediyor.
Önceki sürümlerle karşılaştırıldığında arka kapı komutlarında yeni bir değişim göze çarptı. Geliştirici virüslü cihazlardan fotoğraf çalmak için arka kapı komutları ekledi, sadece çalınan resimleri tam olarak iyi mi kullandığına dair informasyon hemen hemen bulunamadı. Sadece siber suçluların şantaj yöntemiyle para koparmak için kişisel fotoğrafları kullandığı bir gerçek.
Kaspersky Küresel Araştırma ve Çözümleme Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru, şunları söylüyor: “Roaming Mantis son beş yılda etken olarak gelişti. Hücum için yeni yollar bulmanın yanı sıra hedeflenen ülkelerin sayısını genişletti. Bilhassa saldırganın kurbanların fotoğraflarını kullanmasına müsaade eden yeni arka kapı özelliklerinin ortaya çıkmasıyla beraber, kuvvetli finansal motivasyonun da etkisiyle bu saldırıların 2022’de devam edeceğini tahmin ediyoruz. Dünyanın her yerindeki kullanıcıları güvende tutmak için devamlı olarak son olarak Roaming Mantis etkinliğini araştırıyor ve rapor ediyoruz.”
