Roaming Mantis разширява и вгражда iOS скриптове за фишинг и копаене

MiscellaneaDec 19, 2021

Зловредният софтуер за Android вече еволюира и използва 27 различни езика

Илюстрация на богомолка

Roaming Mantis е банков троянски кон, известен също като XLoader и MoqHao[1]. Преди това засягаше главно само устройства с Android, включително смартфони, таблети и т.н. Според изследователите тази злонамерена програма е била активна само в Бангладеш, Китай, Индия, Корея и Япония.

Въпреки това, последните новини показват, че Roaming Mantis е преведен на повече от 27 други езика и актуализиран с допълнителни функции[2]. В момента този банков троянски кон е насочен към хора от Европа и Близкия изток, включително:

  • Български;
  • чешки;
  • Английски;
  • иврит;
  • арменски;
  • Италиански;
  • грузински;
  • малайски;
  • португалски;
  • сърбохърватски;
  • тагалог;
  • украински;
  • Традиционен китайски;
  • арабски;
  • бенгалски;
  • Немски;
  • испански;
  • хинди;
  • индонезийски;
  • японски;
  • корейски;
  • полски;
  • Руски;
  • тайландски;
  • Турски;
  • виетнамски;
  • Опростен китайски.

Сугуру Ишимару, изследователят по сигурността в Kaspersky Lab, смята, че хакерите са използвали стандарт техники за автоматично превеждане на текста на различни езици и разпространение на заразата им глобално[3]:

Вярваме, че нападателят е използвал лесен метод за потенциално заразяване на повече потребители, като е превел първоначалния им набор от езици с автоматичен преводач.

Престъпниците имат за цел да заразят и iOS устройства

Докато вирусът Roaming Mantis първоначално беше проектиран само за Android, сега хакерите смениха тактиките си и също се насочват към iOS джаджи[4]. Експерти твърдят, че целта на подобни действия е разпространението на заразата в световен мащаб, тъй като новите iOS фишинг атаки позволяват на мошениците да получат идентификационни данни на потребителя.

Според проучването фалшивата DNS услуга разрешава домейна hxxp://security.apple.com/ до 172.247.116[.]155 IP адрес, което води до пренасочване към уебсайта за фишинг, който изглежда изключително подобен на легитимния Apple сайт. Така хората са измамени да предоставят чувствителни данни директно на престъпниците.

Фалшивият уебсайт също е преведен на 25 различни езика и е предназначен да събира подробности за Apple ID, включително номер на кредитна карта, срок на валидност, CVV код, вход и парола. Единствените два езика, които липсват - грузински и бенгалски.

Roaming Mantis е актуализиран за извършване на дейности за крипто копаене

Експертите анализираха кода на Roaming Mantis и откриха, че вече е в състояние да експлоатира ресурсите на компютъра и да копае криптовалута. Това е така, защото скриптът на Coinhive е вграден в изходния HTML код[5]. Този Javascript миньор наскоро спечели успех сред хакерите и стана широко използван по целия свят.

След като потребителят се свърже с целевата страница от компютъра, мощността на процесора му става достъпна за уеб миньора. По същия начин, използването на процесора може да се увеличи до 100% и да причини повреда на компютъра или значително влошаване на неговата производителност. В дългосрочен план някои устройства може дори да станат неизползваеми.