„Roaming Mantis“ išplečia ir įterpia „iOS“ sukčiavimo ir kasybos scenarijus

ĮvairiosDec 19, 2021

„Android“ kenkėjiška programa dabar išsivystė ir naudoja 27 skirtingas kalbas

Roaming Mantis iliustracija

Roaming Mantis yra bankinis Trojos arklys, taip pat žinomas kaip XLoader ir MoqHao[1]. Anksčiau tai daugiausia paveikė tik „Android“ įrenginius, įskaitant išmaniuosius telefonus, planšetinius kompiuterius ir kt. Tyrėjų teigimu, ši kenkėjiška programa buvo aktyvi tik Bangladeše, Kinijoje, Indijoje, Korėjoje ir Japonijoje.

Tačiau naujausios žinios rodo, kad Roaming Mantis buvo išverstas į daugiau nei 27 kitas kalbas ir atnaujintas su papildomomis funkcijomis.[2]. Šiuo metu šis bankinis Trojos arklys skirtas žmonėms iš Europos ir Artimųjų Rytų, įskaitant:

  • bulgarų;
  • čekų;
  • Anglų;
  • hebrajų;
  • armėnų;
  • italų;
  • gruzinų;
  • malajiečių;
  • portugalų;
  • serbų-kroatų;
  • tagalogų;
  • ukrainiečių;
  • Tradicinis kinietiškas;
  • Arabiškas;
  • bengalų;
  • vokiečių kalba;
  • ispanų;
  • hindi;
  • Indonezijos;
  • japonų;
  • korėjiečių;
  • Lenkas;
  • rusų kalba;
  • tajų;
  • turkų;
  • vietnamiečių;
  • Supaprastinta kinų kalba.

Suguru Ishimaru, „Kaspersky Lab“ saugumo tyrinėtojas, mano, kad įsilaužėliai naudojo standartą būdai automatiškai išversti tekstą į skirtingas kalbas ir platinti jų infekciją visame pasaulyje[3]:

Manome, kad užpuolikas pasinaudojo paprastu būdu, kad potencialiai užkrėstų daugiau vartotojų, išversdamas jų pradinį kalbų rinkinį automatiniu vertėju.

Nusikaltėliai taip pat siekia užkrėsti iOS įrenginius

Nors Roaming Mantis virusas iš pradžių buvo sukurtas tik Android, dabar įsilaužėliai pakeitė taktiką ir taikosi į iOS programėles.[4]. Ekspertai tvirtina, kad tokių veiksmų tikslas yra platinti infekciją visame pasaulyje, nes naujosios iOS sukčiavimo atakos leidžia sukčiams gauti vartotojo kredencialus.

Remiantis tyrimu, netikra DNS paslauga išskiria hxxp://security.apple.com/ domeną iki 172.247.116[.]155 IP. adresas, dėl kurio nukreipiama į sukčiavimo svetainę, kuri atrodo išskirtinai panaši į teisėtą „Apple“. svetainę. Taigi žmonės yra apgaudinėjami pateikti neskelbtinus duomenis tiesiogiai nusikaltėliams.

Suklastota svetainė taip pat išversta į 25 skirtingas kalbas ir skirta rinkti Apple ID duomenis, įskaitant kredito kortelės numerį, galiojimo datą, CVV kodą, prisijungimo vardą ir slaptažodį. Trūksta tik dviejų kalbų – gruzinų ir bengalų.

Tarptinklinis Mantis yra atnaujintas, kad galėtų atlikti kriptovaliutų kasybos veiklą

Ekspertai išanalizavo Roaming Mantis kodą ir išsiaiškino, kad dabar jis gali išnaudoti kompiuterio resursus ir išgauti kriptovaliutą. Taip yra todėl, kad Coinhive scenarijus buvo įdėtas į HTML šaltinio kodą[5]. Šis „Javascript“ kalnakasys neseniai sulaukė sėkmės tarp įsilaužėlių ir tapo plačiai naudojamas visame pasaulyje.

Kai vartotojas prisijungia prie nukreipimo puslapio iš kompiuterio, jo procesoriaus galia tampa pasiekiama žiniatinklio kasyklai. Be to, procesoriaus naudojimas gali padidėti iki 100% ir sugadinti kompiuterį arba žymiai pabloginti jo veikimą. Ilgainiui kai kurie įrenginiai netgi gali tapti netinkami naudoti.