SmsSpy Android Malware går efter Japan-baserade användare

Högt profilerade hotaktörer har gradvis varit mer och mer uppmärksamma på mobila enheter. En av Advanced Persistent Threat (APT) -aktörerna som specialiserat sig på attacker mot Android-mobila enheter är Roaming Mantis, och en av deras senaste kampanjer introducerade en ny skadlig kod som heter SmsSpy. Hotet är exklusivt för Android och det verkar ha använts mot japanska användare sedan januari. Hotet har fått flera uppdateringar under de senaste månaderna, men dess kärnfunktionalitet verkar vara oförändrad.

Kriminella bakom SmsSpy Malware spåras under aliaset Roaming Mantis, och deras senaste kampanj använder en märklig strategi för att närma sig offer - smiska. Smishing är en term som används för att beskriva en phishing-kampanj som körs via text- eller SMS-meddelanden. Vanligtvis utger brottslingarna bakom sådana kampanjer legitima företag och enheter och gör sedan attraktiva erbjudanden för mottagarna. När det gäller SmsSpy Malware imiterade Roaming Mantis-hackarna Bitcoin-operatörer eller transportföretag som erbjöd hjälp med olika problem.

SmsSpy Malware-länken hittades i dessa meddelanden och användare som laddade ner den skulle hamna omedvetet på deras enhet. Om enheten använder Android 9 och senare skulle den skadliga appen utgöra en kopia av Google Chrome, medan Android 10 och högre skulle utgöra en Google Play-app.

Som namnet på hotet antyder är SmsSpy specialiserat på att extrahera data från användarens textmeddelanden samt att fånga inkommande texter. Dessutom kan brottslingarna använda implantatet för att kapa offrets kontaktlista. Eftersom skadlig programvara utgör en legitim app eller tjänst kan manuell borttagning vara mycket svår.

Smishing-kampanjen som involverar SmsSpy Malware pågår fortfarande. Användare bör skydda sina Android-enheter med användning av ansedda antivirusappar.