Roaming Mantis rozszerza i osadza skrypty phishingowe i górnicze na iOS

RóżneDec 19, 2021

Złośliwe oprogramowanie na Androida ewoluowało i używa 27 różnych języków

Ilustracja wędrownej modliszki

Roaming Mantis to trojan bankowy znany również jako XLoader i MoqHao[1]. Wcześniej dotyczyło to głównie urządzeń z Androidem, w tym smartfonów, tabletów itp. Według badaczy ten szkodliwy program był aktywny tylko w Bangladeszu, Chinach, Indiach, Korei i Japonii.

Jednak najnowsze wiadomości pokazują, że Roaming Mantis została przetłumaczona na ponad 27 innych języków i zaktualizowana o dodatkowe funkcje[2]. Obecnie ten trojan bankowy atakuje osoby z Europy i Bliskiego Wschodu, w tym:

  • Bułgarski;
  • Czech;
  • Język angielski;
  • Hebrajski;
  • Ormiański;
  • Włoski;
  • Gruziński;
  • Malajski;
  • Portugalski;
  • serbsko-chorwacki;
  • tagalski;
  • Ukraiński;
  • Tradycyjny chiński;
  • Arabski;
  • Bengalski;
  • Niemiecki;
  • Hiszpański;
  • Hinduski;
  • Indonezyjski;
  • Język japoński;
  • Koreański;
  • Polskie;
  • Rosyjski;
  • Tajski;
  • Turecki;
  • Wietnamski;
  • Chiński uproszczony.

Suguru Ishimaru, badacz bezpieczeństwa z Kaspersky Lab, uważa, że ​​hakerzy wykorzystali standardowe techniki automatycznego tłumaczenia tekstu na różne języki i rozprzestrzeniania ich infekcji globalnie[3]:

Uważamy, że osoba atakująca wykorzystała łatwą metodę do potencjalnego zainfekowania większej liczby użytkowników, tłumacząc ich początkowy zestaw języków za pomocą automatycznego tłumacza.

Przestępcy również dążą do infekowania urządzeń z systemem iOS

Podczas gdy wirus Roaming Mantis był początkowo przeznaczony tylko dla Androida, teraz hakerzy zmienili swoją taktykę i atakują także gadżety iOS[4]. Eksperci twierdzą, że celem takich działań jest globalne rozprzestrzenianie się infekcji, ponieważ nowe ataki phishingowe na iOS umożliwiają oszustom uzyskanie danych uwierzytelniających użytkownika.

Według badań, fałszywa usługa DNS rozwiązuje domenę hxxp://security.apple.com/ na adres IP 172.247.116[.]155 adres, który powoduje przekierowanie na stronę phishingową, która wygląda wyjątkowo podobnie do legalnego Apple Strona. W ten sposób ludzie są oszukiwani, aby przekazać wrażliwe dane bezpośrednio przestępcom.

Fałszywa strona internetowa jest również przetłumaczona na 25 różnych języków i służy do zbierania danych Apple ID, w tym numeru karty kredytowej, daty ważności, kodu CVV, loginu i hasła. Brakuje tylko dwóch języków — gruzińskiego i bengalskiego.

Roaming Mantis został zaktualizowany, aby wykonywać działania związane z wydobywaniem kryptowalut

Eksperci przeanalizowali kod Roaming Mantis i odkryli, że jest on teraz w stanie wykorzystywać zasoby komputera i wydobywać kryptowalutę. Dzieje się tak, ponieważ skrypt Coinhive został osadzony w kodzie źródłowym HTML[5]. Ten kopacz Javascript ostatnio odniósł sukces wśród hakerów i stał się szeroko stosowany na całym świecie.

Gdy użytkownik połączy się ze stroną docelową z komputera, jego moc procesora staje się dostępna dla web minera. Podobnie użycie procesora może wzrosnąć nawet o 100% i spowodować uszkodzenie komputera lub znaczne pogorszenie jego wydajności. Na dłuższą metę niektóre urządzenia mogą nawet stać się bezużyteczne.