A Roaming Mantis kiterjeszti és beágyazza az iOS adathalász- és bányászati ​​szkriptjeit

Vegyes CikkekDec 19, 2021

Az Android rosszindulatú programjai mostanra fejlődtek, és 27 különböző nyelvet használnak

Barangoló sáska illusztráció

A Roaming Mantis egy banki trójai, más néven XLoader és MoqHao[1]. Korábban főleg csak az Android készülékeket érintette, beleértve az okostelefonokat, táblagépeket stb. A kutatók szerint ez a rosszindulatú program csak Bangladesben, Kínában, Indiában, Koreában és Japánban volt aktív.

A legfrissebb hírek azonban azt mutatják, hogy a Roaming Mantist több mint 27 másik nyelvre fordították le, és további funkciókkal frissítették.[2]. Jelenleg ez a banki trójai az európai és a közel-keleti embereket célozza meg, többek között:

  • Bolgár;
  • Cseh;
  • Angol;
  • Héber;
  • Örmény;
  • Olasz;
  • Grúz;
  • Maláj;
  • Portugál;
  • szerb-horvát;
  • tagalog;
  • Ukrán;
  • Tradicionális kínai;
  • Arab;
  • Bengáli;
  • Német;
  • Spanyol;
  • Hindi;
  • Indonéz;
  • Japán;
  • Koreai;
  • Fényesít;
  • Orosz;
  • thai;
  • Török;
  • Vietnami;
  • Egyszerűsített kínai.

Suguru Ishimaru, a Kaspersky Lab biztonsági kutatója úgy véli, hogy a hackerek szabványt használtak technikák a szöveg különböző nyelvekre történő automatikus lefordításához és fertőzésük terjesztéséhez globálisan[3]:

Úgy gondoljuk, hogy a támadó egy egyszerű módszert használt arra, hogy potenciálisan több felhasználót fertőzzen meg azzal, hogy lefordította a kezdeti nyelveket egy automatikus fordítóval.

A bűnözők célja az iOS-eszközök megfertőzése is

Míg a Roaming Mantis vírust eredetileg csak Androidra tervezték, mostanra a hackerek taktikát váltottak, és iOS kütyüket is megcéloznak.[4]. A szakértők szerint az ilyen akciók célja a fertőzés globális terjesztése, mivel az iOS új adathalász támadásai lehetővé teszik a csalók számára, hogy megszerezzék a felhasználó hitelesítő adatait.

A kutatás szerint a hamis DNS-szolgáltatás a hxxp://security.apple.com/ domaint a 172.247.116[.]155 IP-re oldja fel. címet, amely az adathalász webhelyre való átirányítást eredményezi, amely kivételesen hasonlít a legitim Apple-re webhely. Így az embereket becsapják, hogy érzékeny adatokat közvetlenül a bűnözőknek adjanak át.

A hamis weboldalt 25 különböző nyelvre is lefordították, és az Apple ID adatait gyűjti össze, beleértve a hitelkártya számát, lejárati dátumát, CVV-kódját, bejelentkezési adatait és jelszavát. Csak a két nyelv hiányzik – a grúz és a bengáli.

A Roaming Mantis frissítésre került, hogy kripto-bányászati ​​tevékenységeket végezzen

A szakértők elemezték a Roaming Mantis kódját, és felfedezték, hogy most már képes kihasználni a számítógép erőforrásait és kriptovalutát bányászni. Ennek az az oka, hogy a Coinhive szkriptjét beágyazták a HTML-forráskódba[5]. Ez a Javascript bányász a közelmúltban aratott sikert a hackerek körében, és világszerte széles körben használt.

Miután a felhasználó a számítógépről csatlakozik a céloldalhoz, a CPU-teljesítmény elérhetővé válik a webbányász számára. Hasonlóképpen, a CPU-használat akár 100%-ra is megnőhet, és a számítógép károsodását vagy teljesítményének jelentős romlását okozhatja. Hosszú távon egyes eszközök akár használhatatlanná is válhatnak.