Roaming Mantis rozšiřuje a vkládá iOS phishingové a těžební skripty

Malware pro Android se nyní vyvinul a používá 27 různých jazyků

Roaming Mantis ilustrace

Roaming Mantis je bankovní trojan známý také jako XLoader a MoqHao[1]. Dříve se to týkalo hlavně pouze zařízení se systémem Android, včetně smartphonů, tabletů atd. Podle výzkumníků byl tento škodlivý program aktivní pouze v Bangladéši, Číně, Indii, Koreji a Japonsku.

Nejnovější zprávy však ukazují, že Roaming Mantis byl přeložen do více než 27 dalších jazyků a aktualizován o další funkce.[2]. V současné době se tento bankovní trojan zaměřuje na lidi z Evropy a Středního východu, včetně:

  • Bulharský;
  • Čeština;
  • Angličtina;
  • Hebrejština;
  • arménský;
  • Italština;
  • gruzínský;
  • malajština;
  • Portugalština;
  • srbochorvatština;
  • tagalog;
  • Ukrajinština;
  • Tradiční čínština;
  • Arabština;
  • Bengálský;
  • Němec;
  • Španělština;
  • Hindština;
  • Indonéština;
  • Japonský;
  • Korejština;
  • Polština;
  • Ruština;
  • thajština;
  • Turečtina;
  • Vietnamština;
  • Zjednodušená čínština.

Suguru Ishimaru, bezpečnostní výzkumník v Kaspersky Lab, si myslí, že hackeři použili standard techniky pro automatický překlad textu do různých jazyků a šíření jejich infekce globálně[3]:

Domníváme se, že útočník použil snadný způsob, jak potenciálně nakazit více uživatelů, a to tím, že jejich původní sadu jazyků přeložil automatickým překladačem.

Zločinci mají za cíl infikovat i iOS zařízení

Zatímco virus Roaming Mantis byl původně navržen pouze pro Android, nyní hackeři změnili taktiku a zaměřují se také na gadgety pro iOS.[4]. Odborníci tvrdí, že účelem těchto akcí je globální šíření infekce, protože nové phishingové útoky na iOS umožňují podvodníkům získat přihlašovací údaje uživatele.

Podle výzkumu falešná služba DNS překládá doménu hxxp://security.apple.com/ na 172.247.116[.]155 IP adresu, která vede k přesměrování na phishingový web, který vypadá výjimečně podobně jako legitimní Apple místo. Lidé jsou tak oklamáni, aby poskytli citlivá data přímo zločincům.

Falešný web je také přeložen do 25 různých jazyků a je navržen tak, aby shromažďoval podrobnosti o Apple ID, včetně čísla kreditní karty, data vypršení platnosti, CVV kódu, přihlašovacího jména a hesla. Jediné dva jazyky, které chybí — gruzínština a bengálština.

Roaming Mantis je aktualizován, aby mohl provádět aktivity těžby kryptoměn

Odborníci analyzovali kód Roaming Mantis a zjistili, že je nyní schopen využívat zdroje počítače a těžit kryptoměnu. Je to proto, že skript Coinhive byl vložen do zdrojového kódu HTML[5]. Tento Javascript miner nedávno získal úspěch mezi hackery a stal se široce používaným po celém světě.

Jakmile je uživatel připojen k cílové stránce z počítače, výkon jeho procesoru se zpřístupní webovému těžaři. Podobně se může využití CPU zvýšit až o 100 % a způsobit poškození počítače nebo výrazné zhoršení jeho výkonu. Z dlouhodobého hlediska se některá zařízení mohou dokonce stát nepoužitelnými.