Il malware Android ora si è evoluto e utilizza 27 lingue diverse
Roaming Mantis è un trojan bancario noto anche come XLoader e MoqHao[1]. In precedenza, riguardava principalmente solo i dispositivi Android, inclusi smartphone, tablet, ecc. Secondo i ricercatori, questo programma dannoso era attivo solo in Bangladesh, Cina, India, Corea e Giappone.
Tuttavia, le ultime notizie mostrano che Roaming Mantis è stato tradotto in più di 27 altre lingue e aggiornato con funzionalità aggiuntive[2]. Attualmente, questo trojan bancario si rivolge a persone provenienti da Europa e Medio Oriente, tra cui:
- Bulgaro;
- Ceco;
- Inglese;
- Ebraico;
- Armeno;
- Italiano;
- Georgiano;
- Malese;
- Portoghese;
- serbo-croato;
- tagalog;
- Ucraino;
- Cinese tradizionale;
- Arabo;
- Bengalese;
- Tedesco;
- Spagnolo;
- Hindi;
- Indonesiano;
- Giapponese;
- Coreano;
- Polacco;
- Russo;
- Tailandese;
- Turco;
- Vietnamita;
- Cinese semplificato.
Suguru Ishimaru, il ricercatore di sicurezza presso Kaspersky Lab, pensa che gli hacker abbiano utilizzato gli standard tecniche per tradurre automaticamente il testo in diverse lingue e diffondere la loro infezione globalmente[3]:
Riteniamo che l'autore dell'attacco abbia utilizzato un metodo semplice per infettare potenzialmente più utenti, traducendo il loro set iniziale di lingue con un traduttore automatico.
I criminali mirano a infettare anche i dispositivi iOS
Sebbene il virus Roaming Mantis fosse inizialmente progettato solo per Android, ora gli hacker hanno cambiato tattica e prendono di mira anche i gadget iOS[4]. Gli esperti affermano che lo scopo di tali azioni è diffondere l'infezione a livello globale poiché i nuovi attacchi di phishing di iOS consentono ai truffatori di ottenere le credenziali dell'utente.
Secondo la ricerca, il servizio DNS fasullo risolve il dominio hxxp://security.apple.com/ nell'IP 172.247.116[.]155 indirizzo che si traduce in un reindirizzamento al sito Web di phishing che sembra eccezionalmente simile all'Apple legittimo luogo. Pertanto, le persone vengono indotte a fornire dati sensibili direttamente ai criminali.
Il sito web fasullo è anche tradotto in 25 lingue diverse ed è progettato per raccogliere i dettagli dell'ID Apple, inclusi numero di carta di credito, data di scadenza, codice CVV, accesso e password. Le uniche due lingue che mancano: georgiano e bengalese.
Roaming Mantis viene aggiornato per eseguire attività di cripto-mining
Gli esperti hanno analizzato il codice di Roaming Mantis e hanno scoperto che ora è in grado di sfruttare le risorse del computer ed estrarre criptovalute. Questo perché lo script di Coinhive è stato incorporato nel codice sorgente HTML[5]. Questo miner Javascript ha recentemente riscosso successo tra gli hacker ed è diventato ampiamente utilizzato in tutto il mondo.
Una volta che l'utente è connesso alla landing page dal computer, la sua potenza della CPU diventa accessibile al web miner. Allo stesso modo, l'utilizzo della CPU potrebbe aumentare fino al 100% e causare danni al PC o un significativo deterioramento delle sue prestazioni. A lungo termine, alcuni dispositivi potrebbero addirittura diventare inutilizzabili.