حملة ذات دوافع مالية تستهدف أجهزة Android وتنشر البرامج الضارة على الأجهزة المحمولة عبر تقنيات التصيد عبر الرسائل القصيرة منذ عام 2018 على الأقل ، قد نشرت مجساتها لضرب الضحايا الموجودين في فرنسا و ألمانيا للمرة الأولى.
يطلق عليها اسم فرس النبي المتجول، أحدث موجة من الأنشطة التي لوحظت في عام 2021 تتضمن إرسال نصوص مزيفة متعلقة بالشحن تحتوي على عنوان URL إلى صفحة مقصودة من حيث يصاب مستخدمو Android بأحد طروادة المصرفية المعروفة باسم Wroba ، بينما تتم إعادة توجيه مستخدمي iPhone إلى صفحة تصيد تتنكر على أنها المسؤول موقع آبل.
البلدان الأكثر تضررًا ، استنادًا إلى بيانات القياس عن بُعد التي جمعتها Kaspersky بين يوليو 2021 ويناير 2022 ، هي فرنسا واليابان والهند والصين وألمانيا وكوريا.
تعقبها أيضا تحت الأسماء موكهاو و XLoader (يجب عدم الخلط بينه وبين برنامج info-stealer الخبيث الذي يحمل نفس الاسم تستهدف نظامي التشغيل Windows و macOS) ، استمر نشاط المجموعة في التوسع جغرافيًا حتى مع قيام المشغلين بتوسيع أساليب هجومهم لتعدين العملات المشفرة من أجهزة Apple والتهرب من الاكتشاف.
الهدف الأساسي للحملة هو نشر Wroba ، الذي يعمل كبرنامج تجسس وبرامج ضارة للبنوك ، مع إمكانات لاستبدال التطبيقات الشرعية بإصدارات ضارة وسرقة بيانات الاعتماد المرتبطة بالحسابات المصرفية للضحايا عبر الإنترنت.
كشف التحليل الإضافي لأدوات البرمجيات الخبيثة عن التحول في لغة البرمجة من Java إلى Kotlin وإضافة أمرين خلفيين جديدين يسمحان لـ Wroba بسحب المعارض والصور من الأجهزة المصابة.
وقال الباحثون: "أحد السيناريوهات المحتملة هو أن المجرمين يسرقون التفاصيل من أشياء مثل رخص القيادة أو بطاقات التأمين الصحي أو البطاقات المصرفية ، للتسجيل في عقود مع خدمات الدفع باستخدام رمز الاستجابة السريعة أو خدمات الدفع عبر الهاتف المحمول". "يمكن للمجرمين أيضًا استخدام الصور المسروقة للحصول على المال بطرق أخرى ، مثل الابتزاز أو الابتزاز الجنسي".
