Roaming Mantis expande e incorpora scripts iOS de phishing e mineração

MiscelâneaDec 19, 2021

O malware Android agora evoluiu e usa 27 idiomas diferentes

Ilustração Roaming Mantis

Roaming Mantis é um trojan bancário também conhecido como XLoader e MoqHao[1]. Anteriormente, afetava principalmente apenas dispositivos Android, incluindo smartphones, tablets, etc. De acordo com os pesquisadores, esse programa malicioso estava ativo apenas em Bangladesh, China, Índia, Coréia e Japão.

No entanto, as últimas notícias mostram que o Roaming Mantis foi traduzido para mais de 27 outros idiomas e atualizado com recursos adicionais[2]. Atualmente, este cavalo de Troia bancário tem como alvo pessoas da Europa e do Oriente Médio, incluindo:

  • Búlgaro;
  • Tcheco;
  • Inglês;
  • Hebraico;
  • Armênio;
  • Italiano;
  • Georgiano;
  • Malaio;
  • Português;
  • Servo-croata;
  • Tagalog;
  • Ucraniano;
  • Chinês tradicional;
  • Árabe;
  • Bengali;
  • Alemão;
  • Espanhol;
  • Hindi;
  • Indonésio;
  • Japonês;
  • Coreano;
  • Polonês;
  • Russo;
  • Tailandês;
  • Turco;
  • Vietnamita;
  • Chinês simplificado.

Suguru Ishimaru, o pesquisador de segurança da Kaspersky Lab, acha que os hackers usaram padrão técnicas para traduzir o texto em diferentes idiomas automaticamente e espalhar sua infecção globalmente[3]:

Acreditamos que o invasor utilizou um método fácil para potencialmente infectar mais usuários, traduzindo seu conjunto inicial de idiomas com um tradutor automático.

Os criminosos também visam infectar dispositivos iOS

Embora o vírus Roaming Mantis tenha sido inicialmente projetado apenas para Android, agora os hackers mudaram de tática e também visam os dispositivos iOS[4]. Os especialistas afirmam que o objetivo de tais ações é espalhar a infecção globalmente, uma vez que os novos ataques de phishing do iOS permitem que os criminosos obtenham as credenciais do usuário.

De acordo com a pesquisa, o falso serviço DNS resolve o domínio hxxp: //security.apple.com/ para o IP 172.247.116 [.] 155 endereço que resulta em um redirecionamento para o site de phishing, que parece excepcionalmente semelhante ao legítimo da Apple local. Assim, as pessoas são enganadas para fornecer dados confidenciais diretamente aos criminosos.

O site falso também é traduzido para 25 idiomas diferentes e é projetado para coletar detalhes de ID da Apple, incluindo número do cartão de crédito, data de validade, código CVV, login e senha. Os únicos dois idiomas que faltam - georgiano e bengali.

O Roaming Mantis é atualizado para realizar atividades de mineração criptográfica

Os especialistas analisaram o código do Roaming Mantis e descobriram que agora ele é capaz de explorar os recursos do computador e minerar criptomoedas. Isso ocorre porque o script do Coinhive foi incorporado ao código-fonte HTML[5]. Este minerador de Javascript recentemente obteve sucesso entre os hackers e se tornou amplamente utilizado em todo o mundo.

Depois que o usuário está conectado à página de destino a partir do computador, o poder da CPU torna-se acessível ao web miner. Da mesma forma, o uso da CPU pode aumentar até 100% e causar danos ao PC ou deterioração significativa de seu desempenho. No longo prazo, alguns dispositivos podem até ficar inutilizáveis.