Een financieel gemotiveerde campagne die zich richt op Android-apparaten en sinds ten minste 2018 mobiele malware verspreidt via sms-phishingtechnieken, heeft zijn tentakels uitgespreid om slachtoffers in Frankrijk en Duitsland Voor de eerste keer.
nagesynchroniseerd Zwervende bidsprinkhaanbetreft de laatste golf van activiteiten die in 2021 zijn waargenomen, het verzenden van valse verzendgerelateerde teksten met een URL naar een bestemmingspagina vanwaar Android-gebruikers zijn geïnfecteerd met een banktrojan die bekend staat als Wroba, terwijl iPhone-gebruikers worden omgeleid naar een phishing-pagina die zich voordoet als de officiële Apple-website.
De meest getroffen landen, gebaseerd op telemetriegegevens die Kaspersky tussen juli 2021 en januari 2022 heeft verzameld, zijn Frankrijk, Japan, India, China, Duitsland en Korea.
Ook bijgehouden onder de namen MoqHao en XLoader (niet te verwarren met de info-stealer-malware met dezelfde naam gericht op Windows en macOS), is de activiteit van de groep geografisch blijven uitbreiden, zelfs toen de operators hun aanvalsmethoden verbreedden om cryptocurrency van Apple-apparaten te delven en detectie te omzeilen.
Het primaire doel van de campagne is om Wroba in te zetten, dat zowel als spyware als bancaire malware fungeert, met mogelijkheden om legitieme apps te vervangen door kwaadaardige versies en inloggegevens te stelen die zijn gekoppeld aan de online bankrekeningen van slachtoffers.
Verdere analyse van de malware-artefacten heeft de verschuiving in de programmeertaal van Java naar Kotlin aan het licht gebracht en de toevoeging van twee nieuwe achterdeurcommando’s waarmee Wroba galerijen en foto’s van geïnfecteerde apparaten kan exfiltreren.
“Een mogelijk scenario is dat de criminelen details stelen van bijvoorbeeld rijbewijzen, ziektekostenverzekeringskaarten of bankkaarten, om zich aan te melden voor contracten met QR-codebetalingsdiensten of mobiele betalingsdiensten”, aldus de onderzoekers. “De criminelen kunnen gestolen foto’s ook gebruiken om op andere manieren aan geld te komen, zoals chantage of sextortion.”
