Roaming Mantis laajentaa ja upottaa iOS-tietojenkalastelu- ja kaivosskriptejä

SekalaistaDec 19, 2021
click fraud protection

Android-haittaohjelmat ovat nyt kehittyneet ja käyttävät 27 eri kieltä

Roaming Mantis kuva

Roaming Mantis on pankkitroijalainen, joka tunnetaan myös nimellä XLoader ja MoqHao[1]. Aiemmin se vaikutti pääasiassa vain Android-laitteisiin, mukaan lukien älypuhelimet, tabletit jne. Tutkijoiden mukaan tämä haittaohjelma oli aktiivinen vain Bangladeshissa, Kiinassa, Intiassa, Koreassa ja Japanissa.

Viimeisimmät uutiset kuitenkin osoittavat, että Roaming Mantis on käännetty yli 27 muulle kielelle ja päivitetty lisäominaisuuksilla[2]. Tällä hetkellä tämä pankkitroijalainen on suunnattu ihmisille Euroopasta ja Lähi-idästä, mukaan lukien:

  • bulgaria;
  • Tšekki;
  • Englanti;
  • Heprealainen;
  • armenialainen;
  • Italialainen;
  • georgialainen;
  • malaiji;
  • Portugalin kieli;
  • serbokroatia;
  • Tagalog;
  • Ukrainan;
  • Perinteinen kiina;
  • Arabialainen;
  • bengali;
  • Saksan kieli;
  • Espanja;
  • hindi;
  • Indonesialainen;
  • Japanilainen;
  • Korealainen;
  • Kiillottaa;
  • Venäjän kieli;
  • Thaimaan;
  • turkki;
  • Vietnam;
  • Yksinkertaistettu kiina.

Kaspersky Labin tietoturvatutkija Suguru Ishimaru uskoo, että hakkerit ovat käyttäneet standardia tekniikoita kääntää teksti automaattisesti eri kielille ja levittää tartuntaa maailmanlaajuisesti

[3]:

Uskomme, että hyökkääjä käytti helppoa tapaa saastuttaa useampia käyttäjiä kääntämällä heidän alkuperäiset kielinsä automaattisella kääntäjällä.

Rikolliset pyrkivät saastuttaa myös iOS-laitteet

Roaming Mantis virus suunniteltiin alun perin vain Androidille, mutta nyt hakkerit ovat vaihtaneet taktiikkaansa ja kohdistavat myös iOS-laitteisiin[4]. Asiantuntijat väittävät, että tällaisten toimien tarkoituksena on levittää tartuntaa maailmanlaajuisesti, koska uudet iOS-phishing-hyökkäykset antavat roistoille mahdollisuuden saada käyttäjän tunnistetiedot.

Tutkimuksen mukaan vale DNS-palvelu ratkaisee hxxp://security.apple.com/-verkkotunnuksen 172.247.116[.]155-IP: ksi osoite, joka johtaa uudelleenohjaukseen tietojenkalastelusivustolle, joka näyttää poikkeuksellisen samanlaiselta kuin laillinen Apple sivusto. Siten ihmisiä huijataan toimittamaan arkaluonteisia tietoja suoraan rikollisille.

Väärennetty verkkosivusto on myös käännetty 25 eri kielelle, ja se on suunniteltu keräämään Apple ID -tietoja, mukaan lukien luottokortin numero, viimeinen voimassaolopäivä, CVV-koodi, sisäänkirjautuminen ja salasana. Ainoat kaksi puuttuvaa kieltä - Georgia ja bengali.

Roaming Mantis päivitetään suorittamaan krypto-louhintatoimintoja

Asiantuntijat ovat analysoineet Roaming Mantisin koodin ja havainneet, että se pystyy nyt hyödyntämään tietokoneen resursseja ja louhimaan kryptovaluuttoja. Tämä johtuu siitä, että Coinhiven komentosarja on upotettu HTML-lähdekoodiin[5]. Tämä Javascript-kaivosmies on äskettäin saavuttanut menestystä hakkereiden keskuudessa ja sitä käytetään laajalti kaikkialla maailmassa.

Kun käyttäjä on muodostanut yhteyden aloitussivulle tietokoneelta, sen suorittimen teho tulee verkkokaivostyökalun käyttöön. Samoin suorittimen käyttö voi kasvaa jopa 100 % ja aiheuttaa PC-vaurioita tai sen suorituskyvyn merkittävää heikkenemistä. Pitkällä aikavälillä jotkin laitteet voivat jopa muuttua käyttökelvottomiksi.