Roaming Mantis utvider og bygger inn iOS-phishing- og mining-skript

MiscellaneaDec 19, 2021

Android malware har nå utviklet seg og bruker 27 forskjellige språk

Roaming Mantis illustrasjon

Roaming Mantis er en banktrojaner også kjent som XLoader og MoqHao[1]. Tidligere påvirket det hovedsakelig bare Android-enheter, inkludert smarttelefoner, nettbrett osv. Ifølge forskerne var dette ondsinnede programmet aktivt bare i Bangladesh, Kina, India, Korea og Japan.

De siste nyhetene viser imidlertid at Roaming Mantis har blitt oversatt til mer enn 27 andre språk og oppdatert med tilleggsfunksjoner[2]. For øyeblikket retter denne banktrojaneren seg mot folk fra Europa og Midtøsten, inkludert:

  • bulgarsk;
  • tsjekkisk;
  • Engelsk;
  • Hebraisk;
  • armensk;
  • italiensk;
  • georgisk;
  • malaysisk;
  • portugisisk;
  • serbokroatisk;
  • Tagalog;
  • ukrainsk;
  • Tradisjonell kinesisk;
  • arabisk;
  • bengali;
  • Tysk;
  • spansk;
  • hindi;
  • indonesisk;
  • japansk;
  • koreansk;
  • Pusse;
  • russisk;
  • Thai;
  • tyrkisk;
  • vietnamesisk;
  • Forenklet kinesisk.

Suguru Ishimaru, sikkerhetsforskeren ved Kaspersky Lab, mener at hackere har brukt standard teknikker for å oversette teksten til forskjellige språk automatisk og spre deres infeksjon globalt[3]:

Vi tror angriperen brukte en enkel metode for å potensielt infisere flere brukere, ved å oversette det første settet med språk med en automatisk oversetter.

Kriminelle har som mål å infisere iOS-enheter også

Mens Roaming Mantis-viruset opprinnelig ble designet kun for Android, har hackere nå byttet taktikk og også målrettet mot iOS-innretninger[4]. Eksperter hevder at hensikten med slike handlinger er å spre infeksjonen globalt siden de nye iOS phishing-angrepene lar skurkene få brukerens legitimasjon.

I følge forskningen løser falsk DNS-tjeneste hxxp://security.apple.com/-domenet til 172.247.116[.]155 IP adresse som resulterer i en omdirigering til phishing-nettstedet som ligner eksepsjonelt på legitim Apple nettstedet. Dermed blir folk lurt til å gi sensitive data direkte til de kriminelle.

Den falske nettsiden er også oversatt til 25 forskjellige språk og er designet for å samle inn Apple ID-detaljer, inkludert kredittkortnummer, utløpsdato, CVV-kode, pålogging og passord. De eneste to språkene som mangler - georgisk og bengali.

Roaming Mantis er oppdatert for å utføre kryptogruveaktiviteter

Eksperter har analysert koden til Roaming Mantis og oppdaget at den nå er i stand til å utnytte datamaskinens ressurser og utvinne kryptovaluta. Dette er fordi Coinhives skript har blitt innebygd i HTML-kildekoden[5]. Denne Javascript-gruvearbeideren har nylig oppnådd suksess blant hackerne og ble mye brukt over hele verden.

Når brukeren er koblet til landingssiden fra datamaskinen, blir CPU-kraften tilgjengelig for nettgruvearbeideren. På samme måte kan CPU-bruken øke med opptil 100 % og forårsake PC-skade eller betydelig forringelse av ytelsen. På lang sikt kan enkelte enheter til og med bli ubrukelige.