Roaming Mantis proširuje i ugrađuje iOS skripte za krađu identiteta i rudarenje

MiscelaneaDec 19, 2021

Zlonamjerni softver za Android sada je evoluirao i koristi 27 različitih jezika

Ilustracija lutajuće bogomoljke

Roaming Mantis je bankarski trojanac također poznat kao XLoader i MoqHao[1]. Prije je uglavnom utjecao samo na Android uređaje, uključujući pametne telefone, tablete itd. Prema istraživačima, ovaj zlonamjerni program bio je aktivan samo u Bangladešu, Kini, Indiji, Koreji i Japanu.

Međutim, najnovije vijesti pokazuju da je Roaming Mantis preveden na više od 27 drugih jezika i ažuriran dodatnim značajkama[2]. Trenutno ovaj bankarski trojanac cilja na ljude iz Europe i Bliskog istoka, uključujući:

  • bugarski;
  • Češki;
  • Engleski;
  • hebrejski;
  • Armenac;
  • Talijanski;
  • Gruzijski;
  • Malajski;
  • Portugalski;
  • srpskohrvatski;
  • tagalog;
  • Ukrajinski;
  • Tradicionalni kineski;
  • Arapski;
  • Bengalski;
  • Njemački;
  • španjolski;
  • hindski;
  • Indonezijski;
  • Japanski;
  • Korejski;
  • Polirati;
  • Ruski;
  • tajlandski;
  • Turski;
  • Vijetnamski;
  • Pojednostavljeni kineski.

Suguru Ishimaru, sigurnosni istraživač u Kaspersky Labu, smatra da su hakeri koristili standardne tehnike za automatsko prevođenje teksta na različite jezike i širenje njihove infekcije globalno[3]:

Vjerujemo da je napadač iskoristio jednostavnu metodu da potencijalno zarazi više korisnika, prevodeći njihov početni skup jezika s automatskim prevoditeljem.

Cilj kriminalaca je zaraziti i iOS uređaje

Dok je virus Roaming Mantis u početku bio dizajniran samo za Android, sada su hakeri promijenili svoje taktike i također ciljaju na iOS gadgete[4]. Stručnjaci tvrde da je svrha ovakvih radnji globalno širenje zaraze budući da novi iOS phishing napadi omogućuju lopovima da dobiju vjerodajnice korisnika.

Prema istraživanju, lažna DNS usluga rješava hxxp://security.apple.com/ domenu na 172.247.116[.]155 IP adresu koja rezultira preusmjeravanjem na web-mjesto za krađu identiteta koje izgleda iznimno slično legitimnom Appleu mjesto. Dakle, ljudi su prevareni da daju osjetljive podatke izravno kriminalcima.

Lažna web stranica također je prevedena na 25 različitih jezika i dizajnirana je za prikupljanje podataka o Apple ID-u, uključujući broj kreditne kartice, datum isteka, CVV kod, prijavu i lozinku. Jedina dva jezika koja nedostaju — gruzijski i bengalski.

Roaming Mantis je ažuriran za obavljanje aktivnosti kripto rudarenja

Stručnjaci su analizirali kod Roaming Mantis i otkrili da sada može iskorištavati resurse računala i rudariti kriptovalutu. To je zato što je Coinhiveova skripta ugrađena u HTML izvorni kod[5]. Ovaj Javascript rudar nedavno je postigao uspjeh među hakerima i postao široko korišten u cijelom svijetu.

Nakon što se korisnik poveže na odredišnu stranicu s računala, njegova CPU snaga postaje dostupna web rudaru. Isto tako, korištenje CPU-a može se povećati i do 100% i uzrokovati oštećenje računala ili značajno pogoršanje njegovih performansi. Dugoročno, neki uređaji mogu čak postati neupotrebljivi.