Roaming Mantis memperluas dan menyematkan skrip phishing dan penambangan iOS

Bermacam MacamDec 19, 2021

Malware Android sekarang telah berevolusi dan menggunakan 27 bahasa berbeda

Ilustrasi Belalang Berkeliaran

Roaming Mantis adalah trojan perbankan yang juga dikenal sebagai XLoader dan MoqHao[1]. Sebelumnya, ini hanya memengaruhi perangkat Android, termasuk ponsel cerdas, tablet, dll. Menurut para peneliti, program jahat ini hanya aktif di Bangladesh, China, India, Korea, dan Jepang.

Namun, berita terbaru menunjukkan bahwa Roaming Mantis telah diterjemahkan ke lebih dari 27 bahasa lain dan diperbarui dengan fitur tambahan[2]. Saat ini, trojan perbankan ini menargetkan orang-orang dari Eropa dan Timur Tengah, antara lain:

  • Bulgaria;
  • Ceko;
  • Bahasa Inggris;
  • Ibrani;
  • Armenia;
  • Italia;
  • Georgia;
  • Melayu;
  • Portugis;
  • Serbo-Kroasia;
  • Tagalog;
  • Orang Ukraina;
  • Cina tradisional;
  • Arab;
  • Benggala;
  • Jerman;
  • Orang Spanyol;
  • Hindi;
  • Bahasa Indonesia;
  • Jepang;
  • Korea;
  • Polandia;
  • Rusia;
  • Thai;
  • Turki;
  • Orang Vietnam;
  • Cina disederhanakan.

Suguru Ishimaru, peneliti keamanan di Kaspersky Lab, berpendapat bahwa peretas telah menggunakan standar teknik untuk menerjemahkan teks ke dalam bahasa yang berbeda secara otomatis dan menyebarkan infeksi mereka secara global[3]:

Kami yakin penyerang menggunakan metode mudah untuk berpotensi menginfeksi lebih banyak pengguna, dengan menerjemahkan kumpulan bahasa awal mereka dengan penerjemah otomatis.

Penjahat bertujuan untuk menginfeksi perangkat iOS juga

Sementara virus Roaming Mantis pada awalnya dirancang hanya untuk Android, sekarang peretas telah mengubah taktik mereka dan juga menargetkan gadget iOS[4]. Para ahli mengklaim bahwa tujuan dari tindakan tersebut adalah untuk menyebarkan infeksi secara global karena serangan phishing iOS baru memungkinkan penjahat untuk mendapatkan kredensial pengguna.

Menurut penelitian, layanan DNS palsu menyelesaikan domain hxxp://security.apple.com/ ke 172.247.116[.]155 IP alamat yang menghasilkan pengalihan ke situs web phishing yang terlihat sangat mirip dengan Apple yang sah lokasi. Sehingga, masyarakat ditipu untuk memberikan data sensitif secara langsung kepada para pelaku kejahatan.

Situs web palsu juga diterjemahkan ke dalam 25 bahasa berbeda dan dirancang untuk mengumpulkan detail ID Apple, termasuk nomor kartu kredit, tanggal kedaluwarsa, kode CVV, login, dan kata sandi. Hanya dua bahasa yang hilang — Georgia dan Bengali.

Roaming Mantis diperbarui untuk melakukan aktivitas penambangan kripto

Para ahli telah menganalisis kode Roaming Mantis dan menemukan bahwa kode tersebut sekarang dapat mengeksploitasi sumber daya komputer dan menambang cryptocurrency. Ini karena skrip Coinhive telah disematkan ke kode sumber HTML[5]. Penambang Javascript ini baru-baru ini mendapatkan kesuksesan di antara para peretas dan menjadi banyak digunakan di seluruh dunia.

Setelah pengguna terhubung ke halaman arahan dari komputer, daya CPU-nya dapat diakses oleh penambang web. Demikian juga, penggunaan CPU dapat meningkat hingga 100% dan menyebabkan kerusakan PC atau penurunan kinerja yang signifikan. Dalam jangka panjang, beberapa perangkat bahkan mungkin menjadi tidak dapat digunakan.