Как обнаружено исследователями Kaspersky, Бродящая группа угрозы Богомола продолжила расширять их киберпреступные возможности кампании, добавив сеть crypto добывающий для iOS и новых методов распространения через SMS и prezi.com.

GReAT Kaspersky (Глобальная Команда Исследования & Анализа) сначала получил ветер Бродящего Богомола (иначе MoqHao или XLoader) кампания в апреле 2018, когда они раскрыли использование DNS, угоняющего, чтобы поставить под угрозу устройства на базе Android и установить троянского банкира Android.

Кроме того, в мае, Брожение по Богомолу обнаружило, что Роуминг по Богомолу расширил их действия до большего количества языков и теперь также использовал многоязычный фишинг и добывал вредоносное программное обеспечение, чтобы поставить под угрозу и заразить их цели.

В июне Брожение по Богомолу было найдено японскими исследователями безопасности от LAC Co Ltd, пропитывающей уязвимые маршрутизаторы, используя наборы имен пользователей по умолчанию и паролей, впоследствии изменив серверы DNS на жулик серверы DNS, которыми они управляли.

С тех пор GReAT, также ставшие известные о некоторых других типах злонамеренных методов и инструментов, Бродящих по Богомолу, добавили к своему арсеналу, первый, являющийся выключателем с мандатных веб-сайтов фишинга по устройствам на iOS к сети crypto горная промышленность. Они переключились на места фишинга, хотя после того, как команда Kaspersky узнала об этом.

Роуминг по Богомолу добавил несколько новых инструментов к их арсеналу нападения и распространения с июня 2018

Бродящий Богомол добавил некоторые дополнительные возможности распространения, теперь используя текстовые сообщения фишинга, которые содержат злонамеренные URL, разработанные, чтобы перенаправить пользователя к веб-сайту, который устанавливает вредоносное программное обеспечение FakeSpy Android, которое крадет информацию от корейских и японских пользователей.

Кибер мошенники также используют веб-сайт prezi.com, который принимает динамические представления. Жертвы перенаправлены к специально обработанному представлению, содержащему кодекс, который послал бы их в злонамеренные веб-страницы, созданные, чтобы или установить вредоносное программное обеспечение или использовать компьютер цели в качестве crypto шахтера. Этот метод распространения не работает в данный момент из-за кодирования ошибок, совершенных мошенниками.

GReAT также нашел базу данных отчетов, содержащих больше чем 4 800 записей (в июне 2018), с паролями, банковским делом, и информацией о кредитной карте, а также именами, номерами телефона и личной информацией, которая они считают данными собранными во время Бродящей кампании Богомола.

Поскольку смягчение имеет размеры, GReAT рекомендует пользователям Android отключить выбор, который позволяет их устройству устанавливать приложения из сторонних хранилищ.