Franciaországot és Németországot is elérte a Roaming Mantis névre keresztelt, adatlopó trójait terjesztő támadási kampány.
A támadás menete
A támadás egy csaló SMS üzenettel indul, amelyben a támadók csomagkiszállításra hivatkoznak (lásd: 1. ábra), hasonlóan ahhoz a Flubot kampányhoz, amely tavaly márciusban Magyarországon is terjedt, és amelyről Intézetünk ez idő tájt riasztást adott ki.
Az SMS-ben egy hiperhivatkozás szerepel, amit ha az áldozat iPhone-ról nyit meg, egy adathalász weboldal nyílik meg, azonban ha androidos készülékről koppintanak a hivatkozásra, egy káros kódot tartalmazó applikáció letöltésére buzdító weboldal töltődik be. Ez a káros alkalmazás valamilyen legitim applikációnak álcázza magát, például: Google Chrome, Yamato, ePOST, azonban valójában egy banki trójait (Wroba) tartalmaz.
A Wroba aktuális verziója letöltődés után képes megszerezni többek között az áldozat készülékén tárolt képeit és videóit. A Kaspersky elemzésében arra figyelmeztet, hogy a bűnözők számára ez lehetőséget adhat arra, hogy például szenzitív fotókkal zsarolják az áldozatot.
Javaslatok
Az NBSZ NKI az ilyen támadások elkerüléséhez javasolja, hogy
- ne kattintson e-mail/SMS üzenetben érkező ─ különösen fenti tárgyú ─ hivatkozásokra;
- soha ne töltsön le a hivatalos alkalmazásbolton kívülről alkalmazást (erről bővebben itt olvashat);
- ha ilyen támadást tapasztalna, jelezze az NKI CSIRT felé, a CSIRT[@]nki.gov.hu e-mail címen.
