2018年4月，卡巴斯基实验室发布了一篇名为“Roaming Mantis使用DNS劫持来感染Android智能手机”的博客blogpost。Roaming Mantis使用Android恶意软件，旨在通过DNS劫持进行传播并以Android设备为目标。根据我们的遥测数据，该活动主要集中在亚洲（韩国，孟加拉国和日本）。潜在的受害者被DNS劫持重定向到一个恶意网页，恶意网页发布了一个伪装成Facebook或Chrome的特洛伊应用程序，然后由用户手动安装。该应用程序实际上包含一个Android木马银行。

它引起了我们的注意，在我们发布后不久，其他研究人员也专注于这个恶意软件家族。我们发布了博客之后又发了另一份出版物。我们想感谢来自其他安全公司McAfee、TrendMicro的同事独立开展的关于这项威胁的很棒的工作。如果对这个主题感兴趣，以下文章很有用：

· Android Banking Trojan MoqHao Spreading via SMS Phishing in South Korea

· XLoader Android Spyware and Banking Trojan Distributed via DNS Spoofing

今年5月，在监测Roaming Mantis（又名MoqHao和XLoader）时，我们观察到他们的M.O。该组织的活动范围扩大了，并改善了他们的攻击/逃避方法。他们的登陆页和恶意apk文件现在支持27种语言，覆盖欧洲和中东地区。此外，犯罪分子还为iOS设备增加了钓鱼选项，并为PC增加了挖矿功能。

一、27种语言: 针对全球

在之前的博文中，我们提到用户在使用被劫持的DNS时试图连接到任何网站时，将被重定向到恶意服务器上的恶意登陆页。登陆页面显示与设备的语言设置相对应的弹框消息，并促使用户下载名为'facebook.apk'或'chrome.apk'的恶意apk文件。卡巴斯基实验室在HTML源代码中确认了硬编码的几种语言的登陆页显示弹框消息。

攻击者将目标语言从四种扩展到了27种，包括欧洲和中东的语言。然而，他们不断以简体中文添加评论。而且，这种多语言不仅局限于登陆页。最新的恶意apk（MD5：“fbe10ce5631305ca8bf8cd17ba1a0a35”）也扩展为支持27种语言。

登陆页和恶意apk现在支持以下语言：

· Arabic

· Bulgarian

· Bengali

· Czech

· German

· English

· Spanish

· Hebrew

· Hindi

· Armenian

· Indonesian

· Italian

· Japanese

· Georgian

· Korean

· Malay

· Polish

· Portuguese

· Russian

· Serbo-Croatian

· Thai

· Tagalog

· Turkish

· Ukrainian

· Vietnamese

· Traditional Chinese

· Simplified Chinese

我们相信攻击者利用一种简单的方法来感染更多的用户，通过用自动翻译器翻译初始语言集。

二、针对iOS 设备的Apple钓鱼网站

以前，这个犯罪组织只专注于Android设备。从那以后，他们显然改变了金钱战略。攻击者现在也瞄准iOS设备，使用钓鱼网站窃取用户凭证。当用户通过iOS设备连接到登录页面时，用户被重定向到http://security.apple.com/：

合法的DNS服务器将无法解析像这样域名，因为它根本不存在。但是，通过受感染路由器连接的用户可以访问登录页面，因为流氓DNS服务将该域名解析为IP地址172.247.116[.]155。这是一个仿冒苹果网站的钓鱼页面，在浏览器的地址栏中提供了令人放心的域名security.apple.com。

钓鱼网站窃取用户ID、密码、信用卡号，卡的到期日期和CVV。钓鱼网站的HTML源代码也支持25种语言。

受支持的语言与登陆页和恶意apk文件几乎相同，只是没有包含孟加拉语和格鲁吉亚语。

三、为PC增加Web挖矿功能

通过查看登陆页的HTML源代码，我们还发现了一项新功能：通过在浏览器中执行特殊脚本进行web挖矿。关于网络矿工的更多细节可以在我们的博文“Mining is the new black”中找到。

Coinhive是世界各地网络犯罪分子都使用的最受欢迎的web矿工。当用户从PC连接到登录页面时，由于浏览器中的挖矿活动，CPU使用率将大幅增加。

四、真正的C2隐藏在邮件主题中

旧版的恶意apk样本包括合法网站、帐户和用于获取真实C2地址的正则表达式，恶意软件通过使用Web套接字连接到该地址。在最近的样本中获得其C2变化的过程在下面将进一步描述：

旧版的样本通过访问合法网站获取下一个C2，从HTML代码的特定部分提取中文字符串并对其进行解码。这个方案在最近的样本中已经改变。它不使用HTML协议，而是使用电子邮件协议来获取C2。

恶意软件通过POP3使用硬编码的outlook.com凭证连接到电子邮件收件箱。然后获得电子邮件主题（中文），并使用字符串“abcd”作为标志提取真正的C2地址。旧版和新版解码函数完全相同。

我们解码了下一阶段C2服务器如下所示：

· 220.136.78[.]40

· 220.136.73[.]107

五、后门命令ping

卡巴斯基实验室观察到，先前的恶意apk（MD5：f3ca571b2d1f0ecff371fb82119d1afe）有18个后门命令来确认受害者的环境并控制设备。根据我们的分析，最近的恶意apk（MD5：fbe10ce5631305ca8bf8cd17ba1a0a35）现在实现了19个后门命令：加入了“ping”。

最近样本中的后门命令如下所示：

· sendSms

· setWifi

· gcont

· lock

· bc

· setForward

· getForward

· hasPkg

· setRingerMode

· setRecEnable

· reqState

· showHome

· getnpki

· http

· onRecordAction

· call

· get_apps

· show_fs_float_window

· ping  NEW

新加命令使用C2服务器的IP地址为参数调用OS Ping命令。通过执行此操作，攻击者可以验证服务器的可用性，数据包传播时间或检测目标网络中的网络过滤。此功能也可用于检测半独立的研究环境。

六、自动生成apk文件和文件名

Roaming Mantis在恶意服务器上使用非常简单的检测规避技巧。它需要使用八个随机数为登陆页面生成恶意apk文件名。

除了文件名之外，我们还观察到，截至2018年5月16日，所有下载的恶意apk文件都是独一无二的，因为它们是实时生成的。看起来攻击者在每次下载时都会自动生成apk文件，以避免文件哈希被列入黑名单，这是一项新功能。根据我们的监测，2018年5月8日下载的apk样本都是一样的。

但是，恶意apk在classes.dex内还包含一个loader，并且在\assets\data.sql中包含一个加密的载荷，它们都与以前的变种是相同的。对于安全研究人员，我们已经在本报告的IoC中添加了解密后有效载荷的MD5哈希值，而不是整个apk文件的哈希值，还有一些完整的apk哈希值已上传到VirusTotal。

七、不断改进恶意apk和登陆页

自从我们的第一份报告以来，Roaming Mantis迅速发展。其更新历史记录显示了威胁的增长速度：

背后的攻击者一直在非常积极改进他们的工具。如下图所示，根据KSN数据显示的每天检测到的用户数，数字在5月5日增加。该日期非常接近登陆页上新功能的更新日期。

八、地盘扩张

卡巴斯基实验室产品检测到Roaming Mantis的恶意apk文件为Trojan-Banker.AndroidOS.Wroba。下图是卡巴斯基安全网络（KSN）根据判决'Trojan-Banker.AndroidOS.Wroba.al'提供的2018年5月1日至5月10日的数据。

由此可见，韩国、孟加拉国和日本不再是受影响最严重的国家;相反，俄罗斯、乌克兰和印度首当其冲。根据2月9日至9月9日收集的数据，每天用户数为150.值得一提的是，最新数据显示，超过120名卡巴斯基实验室产品的用户在短短10天内受到影响。此外，重要的是要注意我们在KSN看到的数据可能只是整个全景的一小部分。有两个原因：

1.某些用户可能正在使用其他AV产品或根本没有产品。

2.Roaming Mantis使用DNS劫持，这甚至会阻止客户报告检测结果。但是，有些设备未受影响,可能是因为切换到蜂窝数据或连接到另一个Wi-Fi网络。

九、总结

Roaming Mantis在短时间内发生了显著变化。此攻击的最早报道于2017年8月由McAfee的研究人员公布。当时，Roaming Mantis分发方法是SMS，并且只有一个目标：韩国。当我们在2018年4月首次报告此攻击时，它已经实施了DNS劫持并将其目标扩大到了更广泛的亚洲地区。在今年4月份的报告中，我们称其为一种积极且迅速变化的威胁。新的证据表明，目标的地盘已扩张到欧洲、中东和其他地区的国家，共支持27种语言。攻击者已经超越了Android设备，将iOS作为新的目标，最近开始瞄准PC平台——感染的用户重定向到目标网页，现在配备了Coinhive web挖矿工。Roaming Mantis使用的逃避技术也变得更复杂。本文描述的最近增加的几个例子包括通过使用电子邮件POP协议获取C2的新方法、服务器端动态自动生成更改apk文件/文件名的方法以及包含附加命令以潜在地帮助识别研究，所有这些都被添加了。行动的快速增长意味着它背后的那些人有强烈的金钱动机，并且可能资金充足。

IoCs

恶意主机:

· 43.240.14[.]44

· 118.168.201[.]70 NEW

· 118.168.202[.]125 NEW

· 128.14.50[.]147

· 172.247.116[.]155 NEW

· 220.136.73[.]107 NEW

· 220.136.76[.]200

· 220.136.78[.]40 NEW

· 220.136.111[.]66

· 220.136.179[.]5

· 220.136.182[.]72 NEW

· shaoye11.hopto[.]org

· haoxingfu01.ddns[.]net

恶意apks:

· 03108e7f426416b0eaca9132f082d568

· 07eab01094567c6d62a73f7098634eb8 NEW

· 1cc88a79424091121a83d58b6886ea7a

· 2a1da7e17edaefc0468dbf25a0f60390

· 31e61e52d38f19cf3958df2239fba1a7

· 34efc3ebf51a6511c0d12cce7592db73

· 4d9a7e425f8c8b02d598ef0a0a776a58

· 531714703557a58584a102ecc34162ff NEW

· 904b4d615c05952bcf58f35acadee5c1

· 9f94c34aae5c7d50bc0997d043df032b NEW

· a21322b2416fce17a1877542d16929d5

· b84b0d5f128a8e0621733a6f3b412e19

· bd90279ad5c5a813bc34c06093665e55

· cc1e4d3af5698feb36878df0233ab14a NEW

· ff163a92f2622f2b8330a5730d3d636c

· 808b186ddfa5e62ee882d5bdb94cc6e2

· ee0718c18b2e9f941b5d0327a27fbda1 NEW

classes.dex:

· 13c8dda30b866e84163f82b95008790a NEW

· 19e3daf40460aea22962d98de4bc32d2

· 1b984d8cb76297efa911a3c49805432e NEW

· 36b2609a98aa39c730c2f5b49097d0ad

· 3ba4882dbf2dd6bd4fc0f54ec1373f4c

· 46c34be9b3ff01e73153937ef35b0766 NEW

· 5145c98d809bc014c3af39415be8c9ac NEW

· 6116dc0a59e4859a32caddaefda4dbf4 NEW

· 8a4ed9c4a66d7ccb3d155f85383ea3b3

· a5d2403b98cddcd80b79a4658df4d147 NEW

· b43335b043212355619fd827b01be9a0

· b4152bee9eca9eb247353e0ecab37aa5 NEW

· b7afa4b2dafb57886fc47a1355824199

· bf5538df0688961ef6fccb5854883a20 NEW

· f89214bfa4b4ac9000087e4253e7f754

· 6cac4c9eda750a69e435c801a7ca7b8d

· e56cccd689a9e354cb539bb069733a43 NEW

· fe0198f4b3d9dc501c2b7db2750a228b NEW

从\assets\data.sql解密的载荷

· 1bd7815bece1b54b7728b8dd16f1d3a9

· 28ef823d10a3b78f8840310484e3cc69 NEW

· 307d2780185ba2b8c5ad4c9256407504

· 3e01b64fb9fe9605fee7c07e42907a3b NEW

· 3e4bff0e8ed962f3c420692a35d2e503

· 3ed3b8ecce178c2e977a269524f43576 NEW

· 57abbe642b85fa00b1f76f62acad4d3b

· 6e1926d548ffac0f6cedfb4a4f49196e

· 6d5f6065ec4112f1581732206539e72e NEW

· 7714321baf6a54b09baa6a777b9742ef

· 7aa46b4d67c3ab07caa53e8d8df3005c

· a0f88c77b183da227b9902968862c2b9

· b964645e76689d7e0d09234fb7854ede