RoamingMantis，一种安卓恶意软件(在新标签中打开)网络安全研究人员表示，旨在从受害者那里窃取敏感数据甚至可能是金钱的行动现在已经将目光投向了法国人民。

据BleepingComputer报道，在瞄准法国之前，漫游螳螂袭击了德国、、韩国、日本、美国和英国的人们。

这与Mantis僵尸网络不同，后者最近成为有史以来最大、最强大的僵尸网络之一。

SEKOIA的网络安全研究人员发现了操作迁移。在分析了该活动之后，研究人员发现该方法并没有太大变化：受害者首先会收到一条短信，然后根据他们是iOS用户还是Android用户，将被重定向到不同的站点。

Apple用户将被重定向到网络钓鱼页面，攻击者将在该页面尝试诱骗他们提供凭据，而Android用户将被邀请下载XLoader(MoqHao)，这是一种强大的恶意软件，允许威胁参与者远程访问受感染的端点，访问敏感数据以及SMS应用程序(可能进一步扩展操作)。

研究人员认为，RoamingMantis于2022年2月漫游到法国。收到短信的国外用户是安全的，因为服务器将显示404并阻止攻击。

研究人员发现，该活动显然非常成功，到目前为止，已有超过90,000个唯一IP地址从主命令与控制服务器下载了XLoader。随着iOS用户的加入，这个数字进一步增长，但不幸的是，无法确定。

RoamingMantis也非常擅长保持低调和逃避防病毒解决方案。据说，它从硬编码的Imgur配置文件目标中获取C2配置，并在base64中进一步编码。

该出版物发现，除此之外，与上次分析的四月份相比，该活动的基础设施基本相同。这些服务器在TCP/443、TCP/5985、TCP/10081和TCP/47001处仍具有开放端口，并使用相同的证书。

“在SMS消息中使用的域要么在Godaddy注册，要么使用动态DNS服务，例如duckdns.org，”SEKOIA说。