Roaming Mantis udvider og integrerer iOS-phishing- og minescripts

MiscellaneaDec 19, 2021
click fraud protection

Android malware har nu udviklet sig og bruger 27 forskellige sprog

Roaming Mantis illustration

Roaming Mantis er en banktrojan også kendt som XLoader og MoqHao[1]. Tidligere påvirkede det hovedsageligt kun Android-enheder, herunder smartphones, tablets osv. Ifølge forskerne var dette ondsindede program kun aktivt i Bangladesh, Kina, Indien, Korea og Japan.

De seneste nyheder viser dog, at Roaming Mantis er blevet oversat til mere end 27 andre sprog og opdateret med yderligere funktioner[2]. I øjeblikket er denne banktrojan rettet mod mennesker fra Europa og Mellemøsten, herunder:

  • bulgarsk;
  • tjekkisk;
  • Engelsk;
  • hebraisk;
  • armensk;
  • italiensk;
  • georgisk;
  • malaysisk;
  • portugisisk;
  • serbokroatisk;
  • Tagalog;
  • ukrainsk;
  • Traditionelt kinesisk;
  • arabisk;
  • bengalsk;
  • Tysk;
  • Spansk;
  • hindi;
  • indonesisk;
  • japansk;
  • koreansk;
  • Polere;
  • Russisk;
  • Thai;
  • Tyrkisk;
  • vietnamesisk;
  • Forenklet kinesisk.

Suguru Ishimaru, sikkerhedsforsker ved Kaspersky Lab, mener, at hackere har brugt standard teknikker til automatisk at oversætte teksten til forskellige sprog og sprede deres infektion globalt[3]:

Vi mener, at angriberen brugte en nem metode til potentielt at inficere flere brugere ved at oversætte deres oprindelige sæt sprog med en automatisk oversætter.

Kriminelle sigter mod også at inficere iOS-enheder

Mens Roaming Mantis-virus oprindeligt kun var designet til Android, har hackere nu ændret deres taktik og også målrettet mod iOS-gadgets[4]. Eksperter hævder, at formålet med sådanne handlinger er at sprede infektionen globalt, da de nye iOS-phishing-angreb giver skurkene mulighed for at få brugerens legitimationsoplysninger.

Ifølge undersøgelsen løser falsk DNS-tjeneste hxxp://security.apple.com/-domænet til 172.247.116[.]155 IP adresse, som resulterer i en omdirigering til phishing-webstedet, som ligner en usædvanligt legitim Apple websted. Dermed bliver folk narret til at give følsomme data direkte til de kriminelle.

Den falske hjemmeside er også oversat til 25 forskellige sprog og er designet til at indsamle Apple ID-oplysninger, herunder kreditkortnummer, udløbsdato, CVV-kode, login og adgangskode. De eneste to sprog, der mangler - georgisk og bengali.

Roaming Mantis er opdateret til at udføre krypto-mineaktiviteter

Eksperter har analyseret koden til Roaming Mantis og opdaget, at den nu er i stand til at udnytte computerens ressourcer og udvinde kryptovaluta. Dette skyldes, at Coinhives script er blevet indlejret i HTML-kildekoden[5]. Denne Javascript-miner har for nylig vundet succes blandt hackerne og er blevet meget brugt over hele verden.

Når brugeren er forbundet til landingssiden fra computeren, bliver dens CPU-kraft tilgængelig for webmineren. På samme måde kan CPU-brug stige op til 100 % og forårsage pc-skade eller betydelig forringelse af dens ydeevne. I det lange løb kan nogle enheder endda blive ubrugelige.