研究人员称，所有迹象都表明FakeSpy的幕后开发者是一个叫 "Roaming Mantis "的组织。再来说说FakeSpy通过短信的的传播方式：

• 向攻击目标发送一条声称来自当地邮局的短信，短信中声称邮局试图投递一个包裹，但由于用户不在家而无法投递;
• 短信提供了一个用户可以点击的链接，该链接引导用户下载一个伪装成合法邮政服务应用的应用程序。
• 一旦用户将该程序安装在手机上，该应用就会将假短信以及恶意链接发送到用户的整个联系人列表中。

早在2018年，Roaming Mantis就通过Wi-Fi路由器感染过智能手机。当时Roaming Mantis开发的恶意软件使用受感染的路由器感染基于Android的智能手机和平板电脑。然后，它将iOS设备重定向到钓鱼网站，并在台式机和笔记本电脑上运行CoinHive密码管理脚本。它是通过DNS劫持的方式实现的，这使得目标用户难以发现某些问题。

近期又有研究人员发现了Roaming Mantis开发的新恶意软件——Wroba手机银行木马，且其攻击目标是美国人群。

据卡巴斯基的研究人员称，自周四开始，一波针对美国Android和iPhone用户的攻击就已经出现了。该攻击使用短信进行传播，以虚假的“包裹递送”通知作为诱饵。这与FakeSpy攻击的套路是一样的。

首先攻击者发送的短信内容中包含一个链接，内容为：“你的包裹已寄出，请检查并接受。

其次如果用户点击链接，则接下来的操作就取决于设备所使用的操作系统。点击会将Android用户带到一个恶意站点，该站点反过来向用户发出警报，指出该浏览器已过期并且需要更新。如果用户点击“确定”，接下来将开始下载带有恶意应用程序的木马浏览器程序包。

但据研究人员的分析，在Android系统中下载的Wroba，无法在iPhone上运行。而对于iOS用户，Wroba运营商没有采用安装恶意软件的方法，而是会使用重定向到钓鱼页面的策略。该页面模仿了苹果ID登录页面，试图从苹果迷那里获取凭证。

截至今年5月，苹果在美国智能手机市场的份额已超过一半。其实Wroba已经存在了很多年，但是以前主要针对亚太地区的用户。它最初是作为Android专用的移动银行木马开发的，能够窃取与金融交易相关的文件，但此后扩展了其功能。研究人员说，Wroba的最新版本可以可以发送短信、检查安装了哪些应用程序、打开网页、获取任何与金融交易有关的文件、窃取联系人名单、拨打特定号码以及显示虚假钓鱼页面，以窃取受害者完整的身份信息。