Το Roaming Mantis επεκτείνει και ενσωματώνει σενάρια phishing και εξόρυξης iOS

MiscellaneaDec 19, 2021
click fraud protection

Το κακόβουλο λογισμικό Android έχει πλέον εξελιχθεί και χρησιμοποιεί 27 διαφορετικές γλώσσες

Εικονογράφηση Roaming Mantis

Το Roaming Mantis είναι ένα τραπεζικό trojan γνωστό και ως XLoader και MoqHao[1]. Προηγουμένως, επηρέαζε κυρίως μόνο συσκευές Android, συμπεριλαμβανομένων smartphone, tablet κ.λπ. Σύμφωνα με τους ερευνητές, αυτό το κακόβουλο πρόγραμμα ήταν ενεργό μόνο στο Μπαγκλαντές, την Κίνα, την Ινδία, την Κορέα και την Ιαπωνία.

Ωστόσο, τα τελευταία νέα δείχνουν ότι το Roaming Mantis έχει μεταφραστεί σε περισσότερες από 27 άλλες γλώσσες και ενημερώθηκε με πρόσθετες λειτουργίες[2]. Επί του παρόντος, αυτό το τραπεζικό trojan στοχεύει ανθρώπους από την Ευρώπη και τη Μέση Ανατολή, συμπεριλαμβανομένων:

  • Βούλγαρος;
  • Τσέχος;
  • Αγγλικά;
  • Εβραϊκά;
  • Αρμενικός;
  • Ιταλικός;
  • Γεωργιανή;
  • Μαλαισιανό?
  • Πορτογαλικά;
  • Σερβοκροατικά;
  • Ταγκαλόγκ;
  • Ουκρανός;
  • Παραδοσιακά κινεζικά;
  • Αραβικός;
  • Μπενγκάλι;
  • Γερμανός;
  • Ισπανικά;
  • Χίντι;
  • Ινδονησιακά;
  • Ιαπωνικά;
  • Κορεάτης;
  • Στίλβωση;
  • Ρωσική;
  • Ταϊλάνδης;
  • Τούρκικος;
  • Βιετναμέζικα;
  • Απλοποιημένα Κινέζικα.

Ο Suguru Ishimaru, ο ερευνητής ασφάλειας στο Kaspersky Lab, πιστεύει ότι οι χάκερ έχουν χρησιμοποιήσει πρότυπα τεχνικές αυτόματης μετάφρασης του κειμένου σε διαφορετικές γλώσσες και εξάπλωσης της μόλυνσης τους σε παγκόσμιο επίπεδο

[3]:

Πιστεύουμε ότι ο εισβολέας χρησιμοποίησε μια εύκολη μέθοδο για να μολύνει πιθανώς περισσότερους χρήστες, μεταφράζοντας το αρχικό σύνολο γλωσσών τους με έναν αυτόματο μεταφραστή.

Οι εγκληματίες στοχεύουν να μολύνουν και συσκευές iOS

Ενώ ο ιός Roaming Mantis σχεδιάστηκε αρχικά μόνο για Android, τώρα οι χάκερ έχουν αλλάξει τακτική και στοχεύουν επίσης gadget iOS[4]. Οι ειδικοί ισχυρίζονται ότι σκοπός τέτοιων ενεργειών είναι η εξάπλωση της μόλυνσης παγκοσμίως, καθώς οι νέες επιθέσεις phishing στο iOS επιτρέπουν στους απατεώνες να λαμβάνουν τα διαπιστευτήρια των χρηστών.

Σύμφωνα με την έρευνα, η ψεύτικη υπηρεσία DNS επιλύει τον τομέα hxxp://security.apple.com/ στο 172.247.116[.]155 IP διεύθυνση που οδηγεί σε ανακατεύθυνση στον ιστότοπο ηλεκτρονικού ψαρέματος που μοιάζει εξαιρετικά παρόμοια με τη νόμιμη Apple ιστοσελίδα. Έτσι, οι άνθρωποι εξαπατούνται για να παρέχουν ευαίσθητα δεδομένα απευθείας στους εγκληματίες.

Ο πλαστός ιστότοπος μεταφράζεται επίσης σε 25 διαφορετικές γλώσσες και έχει σχεδιαστεί για να συλλέγει στοιχεία Apple ID, συμπεριλαμβανομένου του αριθμού πιστωτικής κάρτας, της ημερομηνίας λήξης, του κωδικού CVV, της σύνδεσης και του κωδικού πρόσβασης. Οι μόνες δύο γλώσσες που λείπουν — η γεωργιανή και η μπενγκάλι.

Το Roaming Mantis ενημερώθηκε για την εκτέλεση δραστηριοτήτων εξόρυξης κρυπτονομισμάτων

Οι ειδικοί ανέλυσαν τον κώδικα του Roaming Mantis και ανακάλυψαν ότι είναι πλέον σε θέση να εκμεταλλευτεί τους πόρους του υπολογιστή και να εξορύξει κρυπτονομίσματα. Αυτό συμβαίνει επειδή το σενάριο του Coinhive έχει ενσωματωθεί στον πηγαίο κώδικα HTML[5]. Αυτό το Javascript miner κέρδισε πρόσφατα επιτυχία μεταξύ των χάκερ και χρησιμοποιήθηκε ευρέως σε όλο τον κόσμο.

Μόλις ο χρήστης συνδεθεί στη σελίδα προορισμού από τον υπολογιστή, η ισχύς της CPU του γίνεται προσβάσιμη στο web miner. Ομοίως, η χρήση της CPU μπορεί να αυξηθεί έως και 100% και να προκαλέσει βλάβη στον υπολογιστή ή σημαντική υποβάθμιση της απόδοσής του. Μακροπρόθεσμα, ορισμένες συσκευές μπορεί ακόμη και να καταστούν άχρηστες.