Roaming Mantis laiendab ja manustab iOS-i andmepüügi- ja kaevandusskripte

MiscellaneaDec 19, 2021
click fraud protection

Androidi pahavara on nüüdseks arenenud ja kasutab 27 erinevat keelt

Roaming Mantis illustratsioon

Roaming Mantis on pangandustroojalane, tuntud ka kui XLoader ja MoqHao[1]. Varem puudutas see peamiselt ainult Androidi seadmeid, sealhulgas nutitelefone, tahvelarvuteid jne. Teadlaste sõnul oli see pahatahtlik programm aktiivne just Bangladeshis, Hiinas, Indias, Koreas ja Jaapanis.

Viimased uudised näitavad aga, et Roaming Mantis on tõlgitud rohkem kui 27 keelde ja seda on värskendatud lisafunktsioonidega.[2]. Praegu sihib see pangandustrooja inimesi Euroopast ja Lähis-Idast, sealhulgas:

  • bulgaaria keel;
  • tšehhi;
  • Inglise;
  • heebrea;
  • armeenlane;
  • itaalia keel;
  • gruusia keel;
  • malai;
  • portugali keel;
  • serbo-horvaadi keel;
  • tagalog;
  • ukraina keel;
  • traditsiooniline hiina keel;
  • araabia keel;
  • bengali;
  • saksa keel;
  • hispaania keel;
  • hindi;
  • Indoneesia;
  • Jaapani;
  • korea keel;
  • poola keel;
  • vene keel;
  • Tai;
  • türgi keel;
  • vietnamlane;
  • Lihtsustatud hiina keel.

Kaspersky Labi turvateadlane Suguru Ishimaru arvab, et häkkerid on kasutanud standardit tehnikaid teksti automaatseks tõlkimiseks erinevatesse keeltesse ja nende nakkuse levitamiseks globaalselt[3]:

Usume, et ründaja kasutas lihtsat meetodit, et potentsiaalselt rohkem kasutajaid nakatada, tõlkides nende algsed keelekomplektid automaatse tõlkijaga.

Kurjategijate eesmärk on nakatada ka iOS-i seadmeid

Kui algselt oli Roaming Mantis viirus mõeldud ainult Androidile, siis nüüd on häkkerid taktikat muutnud ja sihivad ka iOS-i vidinaid[4]. Eksperdid väidavad, et selliste toimingute eesmärk on levitada nakkust ülemaailmselt, kuna uued iOS-i andmepüügirünnakud võimaldavad kelmidel hankida kasutaja mandaadid.

Uuringu kohaselt lahendab võlts DNS-teenus domeeni hxxp://security.apple.com/ 172.247.116[.]155 IP-ks aadress, mille tulemuseks on ümbersuunamine andmepüügiveebisaidile, mis näeb välja erakordselt sarnane seadusliku Apple'iga sait. Nii meelitatakse inimesi andma tundlikke andmeid otse kurjategijatele.

Võltsveebisait on tõlgitud ka 25 erinevasse keelde ja selle eesmärk on koguda Apple ID andmeid, sealhulgas krediitkaardi number, aegumiskuupäev, CVV kood, sisselogimine ja parool. Puuduvad ainult kaks keelt — gruusia ja bengali keel.

Roaming Mantis on värskendatud krüptokaevandamistoimingute tegemiseks

Eksperdid on analüüsinud Roaming Mantise koodi ja avastanud, et see suudab nüüd arvuti ressursse ära kasutada ja krüptovaluutat kaevandada. Selle põhjuseks on asjaolu, et Coinhive'i skript on manustatud HTML-i lähtekoodi[5]. See Javascripti kaevandaja on häkkerite seas hiljuti edu saavutanud ja seda kasutatakse laialdaselt kogu maailmas.

Kui kasutaja on arvutist sihtlehega ühendatud, muutub selle protsessori võimsus veebikaevandajale kättesaadavaks. Samuti võib protsessori kasutus suureneda kuni 100% ja põhjustada arvuti kahjustusi või selle jõudluse märkimisväärset halvenemist. Pikemas perspektiivis võivad mõned seadmed muutuda isegi kasutuskõlbmatuks.