国家计算机病毒应急处理中心通过对互联网的监测,发现攻击安卓平台的恶意软件家族“Roaming Mantis (漫游螳螂)”出现了最新变种,借新冠病毒疫情话题为诱饵以钓鱼短信的方式进行传播。
漫游螳螂恶意软件最早出现于2018年4月,攻击者首先劫持了目标用户的路由器,从而传播可以窃取用户机密信息的Android平台的恶意软件。随后,攻击者增加了通过发送伪造物流公司的短信(包含钓鱼链接)方式进行传播。研究人员在2019年发现该恶意软件在传播方式上又进行了升级,即在不同国家进行传播的时候使用该国家本土快递公司的标志作为图标,这样可以更好的迷惑目标。在2020年2月,研究人员发现该恶意软件借新冠病毒的热度以钓鱼短信的方式进行传播。
2019年4月,研究人员还发现了该恶意软件的两个变种Wroba.j和Fakecop,这两个变种在传播方式和功能架构等方面几乎一致,杀毒软件的检测率很低,会根据群发垃圾短信的反馈情况创建电话号码列表,还会检测运营商信息,如果发现了日本的Docomo和Softbank,则会将该手机号码加入到用于发送垃圾短信的号码列表中。
综上,漫游螳螂的主要目的是为了获取更大的经济利益,其不断升级传播方式,以当今流行的事件为主题编写钓鱼短信来引发目标的好奇心,从而进行大面积的扩散。最新的变种还加入了多种功能来对抗研究人员,防止自身被溯源。