Roaming Mantis，一种安卓恶意软件（在新标签中打开）网络安全研究人员表示，旨在从受害者那里窃取敏感数据甚至可能是金钱的行动现在已经将目光投向了法国人民。

据 BleepingComputer报道，在瞄准法国之前，漫游螳螂袭击了德国、台湾、韩国、日本、美国和英国的人们。

这与Mantis 僵尸网络不同，后者最近成为有史以来最大、最强大的僵尸网络之一。

数以万计的受害者

SEKOIA 的网络安全研究人员发现了操作迁移。在分析了该活动之后，研究人员发现该方法并没有太大变化：受害者首先会收到一条短信，然后根据他们是 iOS 用户还是 Android 用户，将被重定向到不同的站点。

Apple 用户将被重定向到网络钓鱼页面，攻击者将在该页面尝试诱骗他们提供凭据，而 Android 用户将被邀请下载 XLoader (MoqHao)，这是一种强大的恶意软件，允许威胁参与者远程访问受感染的端点，访问敏感数据以及 SMS 应用程序（可能进一步扩展操作）。

研究人员认为，Roaming Mantis 于 2022 年 2 月漫游到法国。收到短信的国外用户是安全的，因为服务器将显示 404 并阻止攻击。

研究人员发现，该活动显然非常成功，到目前为止，已有超过 90,000 个唯一 IP 地址从主命令与控制服务器下载了 XLoader。随着 iOS 用户的加入，这个数字进一步增长，但不幸的是，无法确定。

Roaming Mantis 也非常擅长保持低调和逃避防病毒解决方案。据说，它从硬编码的 Imgur 配置文件目标中获取 C2 配置，并在 base64 中进一步编码。

该出版物发现，除此之外，与上次分析的四月份相比，该活动的基础设施基本相同。这些服务器在 TCP/443、TCP/5985、TCP/10081 和 TCP/47001 处仍具有开放端口，并使用相同的证书。

“在 SMS 消息中使用的域要么在 Godaddy 注册，要么使用动态 DNS 服务，例如duckdns.org，”SEKOIA 说。