SmsSpy Android Malware går etter japanbaserte brukere

Høyprofilerte trusselsaktører har gradvis betalt mer og mer oppmerksomhet til mobile enheter. En av Advanced Persistent Threat (APT) -aktørene som spesialiserer seg på angrep mot Android-mobile enheter, er Roaming Mantis, og en av deres nylige kampanjer introduserte et nytt stykke malware kalt SmsSpy. Trusselen er eksklusiv Android, og den ser ut til å ha blitt brukt mot japanske brukere siden januar. Trusselen har mottatt flere oppdateringer de siste månedene, men kjernefunksjonaliteten ser ut til å være uendret.

Kriminelle bak SmsSpy Malware blir sporet under aliaset Roaming Mantis, og deres nylige kampanje bruker en spesiell strategi for å nærme seg ofrene - smishing. Smishing er et begrep som brukes for å beskrive en phishing-kampanje utført gjennom tekst- eller SMS-meldinger. Vanligvis utgjør kriminelle bak slike kampanjer legitime selskaper og enheter og gir deretter attraktive tilbud til mottakere. Når det gjelder SmsSpy Malware, imiterte Roaming Mantis-hackerne Bitcoin-operatører eller transportselskaper som tilbød assistanse med ulike problemer.

SmsSpy Malware-lenken ble funnet i disse meldingene, og brukere som lastet ned den, ville ende opp med å uvitende infisere enheten sin. Hvis enheten bruker Android 9 og nyere, vil den ondsinnede appen utgjøre en kopi av Google Chrome, mens Android 10 og nyere vil utgjøre en Google Play-app.

Som navnet på trusselen antyder, spesialiserer SmsSpy seg i å trekke ut data fra brukerens tekstmeldinger, samt å fange innkommende tekster. Videre kan de kriminelle bruke implantatet til å kapre offerets kontaktliste. Siden skadelig programvare utgjør en legitim app eller tjeneste, kan manuell fjerning være veldig vanskelig.

Smishing-kampanjen som involverer SmsSpy Malware pågår fortsatt. Brukere bør beskytte Android-enhetene sine ved bruk av anerkjente antivirusapper.