在襲擊德國、臺灣、韓國、日本、美國和英國之后，Roaming Mantis將轉向法國，并針對法國Android和iOS用戶發起攻擊，這次攻擊可能會危及數萬臺設備。Roaming Mantis被認為是一個出于經濟動機的威脅行為者，早在2月時，就曾針對歐洲用戶發起過攻擊。在最近觀察到的一次網絡攻擊活動中，該攻擊者被發現使用SMS通信來引誘用戶在其 Android 設備上下載惡意軟件，如果用戶使用 iOS，他們將被重定向到 Apple 憑據的網絡釣魚頁面。

在近期發布的一份報告中，網絡安全公司SEKOIA的研究人員表示，Roaming Mantis現在正在Android設備上投放XLoader (MoqHao) 有效荷載，這是一種強大的惡意軟件，可以計算遠程訪問、信息竊取和短信垃圾郵件等功能。正在進行的Roaming Mantis活動以法國用戶為目標，他們向潛在受害者發送短信，并引誘用戶點擊鏈接。用戶會收到一條短信，告知他們已經收到了一個包裹，他們需要檢查并安排送貨。

如果用戶位于法國并且使用iOS設備，他們將被定向到竊取Apple憑據的網絡釣魚頁面。Android用戶則被指向一個提供移動應用程序安裝文件的站點（Android Package Kit - APK）。但對于法國以外的用戶，Roaming Mantis的服務器顯示404 錯誤并且攻擊停止。

在攻擊中，APK執行并模仿Chrome安裝，并請求風險權限，例如短信攔截、撥打電話、讀寫存儲、處理系統警報、獲取帳戶列表等。命令和控制 (C2) 配置是從硬編碼的Imgur配置文件目標中檢索的，這些攻擊以base64編碼以逃避檢測。

SEKOIA證實，到目前為止，有超過90000個唯一的IP地址從C2主服務器請求XLoader。 截至目前，其表示在Roaming Mantis 網絡釣魚頁面上提交Apple iCloud憑據的iOS用戶數量未知，有可能比預期的更高。

網絡釣魚頁面

SEKOIA的分析師報告稱，自去年4月Cymru團隊的最后一次分析以來，Roaming Mantis的基礎設施并沒有太大變化，這些服務器在TCP/443、TCP/5985、TCP/10081 和 TCP/47001上仍然有開放端口，而4月份看到他們仍在使用相同的證書，他們在SMS消息中使用的域名要么是在Godaddy注冊的，要么使用動態DNS服務，例如duckdns.org，而入侵集合使用了一百多個子域名，每個IP地址都有幾十個FQDN解析。有趣的是，Roaming Mantis的短信釣魚(SMS phishing)活動依賴獨立于XLoader使用的C2服務器，分析人員可以識別出其中9個托管在EHOSTIDC和VELIANET系統上的活動。

參考來源：https://www.bleepingcomputer.com/news/security/roaming-mantis-hits-android-and-ios-users-in-malware-phishing-attacks/