Roaming Mantis מרחיב ומטמיע סקריפטים של דיוג וכרייה של iOS

תוכנת זדונית אנדרואיד התפתחה כעת ומשתמשת ב-27 שפות שונות

איור גמל שלמה נודד

Roaming Mantis הוא טרויאני בנקאי הידוע גם בשם XLoader ו-MoqHao[1]. בעבר זה השפיע בעיקר רק על מכשירי אנדרואיד, כולל סמארטפונים, טאבלטים וכו'. לדברי החוקרים, התוכנית הזדונית הזו הייתה פעילה רק בבנגלדש, סין, הודו, קוריאה ויפן.

עם זאת, החדשות האחרונות מראות ש-Roaming Mantis תורגם ליותר מ-27 שפות אחרות ועודכן בתכונות נוספות[2]. נכון לעכשיו, טרויאני בנקאי זה מכוון לאנשים מאירופה ומהמזרח התיכון, כולל:

  • בולגרית;
  • צ'כית;
  • אנגלית;
  • עִברִית;
  • אַרְמֶנִי;
  • אִיטַלְקִית;
  • גרוזיני;
  • מלאית;
  • פורטוגזית;
  • סרבו-קרואטי;
  • טאגלוג;
  • אוקראינית;
  • סינית מסורתית;
  • עֲרָבִית;
  • בנגלית;
  • גֶרמָנִיָת;
  • ספרדית;
  • הינדי;
  • אינדונזית;
  • יַפָּנִית;
  • קוריאני;
  • פולני;
  • רוּסִי;
  • תאילנדי;
  • טורקי;
  • וייטנאמי;
  • סינית פשוטה.

Suguru Ishimaru, חוקר האבטחה במעבדת קספרסקי, חושב שהאקרים השתמשו בתקן טכניקות לתרגם את הטקסט לשפות שונות באופן אוטומטי ולהפיץ את הזיהום שלהם באופן גלובלי[3]:

אנו מאמינים שהתוקף השתמש בשיטה קלה כדי להדביק משתמשים נוספים, על ידי תרגום מערכת השפות הראשונית שלהם עם מתרגם אוטומטי.

פושעים שואפים להדביק גם מכשירי iOS

בעוד וירוס Roaming Mantis תוכנן בתחילה עבור אנדרואיד בלבד, כעת האקרים החליפו את הטקטיקה שלהם ומכוונים גם לגאדג'טים של iOS

[4]. מומחים טוענים שמטרתן של פעולות כאלה היא להפיץ את ההדבקה ברחבי העולם מאחר שהתקפות הדיוג החדשות של iOS מאפשרות לנוכלים לקבל את אישורי המשתמש.

על פי המחקר, שירות DNS מזויף פותר את הדומיין hxxp://security.apple.com/ ל-172.247.116[.]155 IP כתובת שמביאה להפניה מחדש לאתר הדיוג שנראה דומה במיוחד לאפל לגיטימית אֲתַר. לפיכך, אנשים מרומים לספק נתונים רגישים ישירות לעבריינים.

האתר המזויף מתורגם גם ל-25 שפות שונות ונועד לאסוף פרטי Apple ID, כולל מספר כרטיס אשראי, תאריך תפוגה, קוד CVV, כניסה וסיסמה. שתי השפות היחידות שחסרות - גאורגית ובנגלית.

Roaming Mantis מתעדכן לביצוע פעילויות כריית קריפטו

מומחים ניתחו את הקוד של Roaming Mantis וגילו שהוא מסוגל כעת לנצל את משאבי המחשב ולכרות מטבעות קריפטוגרפיים. הסיבה לכך היא שהסקריפט של Coinhive הוטבע בקוד המקור של HTML[5]. כורה Javascript זה זכה לאחרונה להצלחה בקרב ההאקרים והפך לשימוש נרחב ברחבי העולם.

ברגע שהמשתמש מחובר לדף הנחיתה מהמחשב, כוח המעבד שלו הופך לנגיש לכורה האינטרנט. כמו כן, השימוש במעבד עשוי לעלות עד 100% ולגרום לנזק למחשב האישי או להרעה משמעותית בביצועיו. בטווח הארוך, מכשירים מסוימים עשויים אפילו להפוך לבלתי שמישים.