Roaming Mantis extinde și încorporează scripturi iOS de phishing și mining

MiscellaneaDec 19, 2021

Malware Android a evoluat acum și folosește 27 de limbi diferite

Roaming Mantis ilustrație

Roaming Mantis este un troian bancar cunoscut și sub numele de XLoader și MoqHao[1]. Anterior, a afectat în principal doar dispozitivele Android, inclusiv smartphone-uri, tablete etc. Potrivit cercetătorilor, acest program rău intenționat a fost activ doar în Bangladesh, China, India, Coreea și Japonia.

Cu toate acestea, ultimele știri arată că Roaming Mantis a fost tradus în peste 27 de limbi și actualizat cu funcții suplimentare[2]. În prezent, acest troian bancar vizează oameni din Europa și Orientul Mijlociu, inclusiv:

  • Bulgară;
  • Ceh;
  • Engleză;
  • ebraică;
  • Armean;
  • Italiană;
  • Georgian;
  • malaeză;
  • portugheză;
  • sârbo-croată;
  • tagalog;
  • Ucrainean;
  • Chineză tradițională;
  • Arabic;
  • bengaleză;
  • Limba germana;
  • Spaniolă;
  • Hindi;
  • indoneziană;
  • Japonez;
  • Coreeană;
  • Lustrui;
  • Rusă;
  • thailandeză;
  • Turc;
  • vietnameză;
  • Chineză simplificată.

Suguru Ishimaru, cercetătorul de securitate la Kaspersky Lab, crede că hackerii au folosit standardul tehnici de traducere automată a textului în diferite limbi și răspândirea infecției acestora la nivel global[3]:

Credem că atacatorul a folosit o metodă ușoară pentru a infecta potențial mai mulți utilizatori, prin traducerea setului lor inițial de limbi cu un traducător automat.

Infractorii urmăresc să infecteze și dispozitivele iOS

În timp ce virusul Roaming Mantis a fost conceput inițial doar pentru Android, acum hackerii și-au schimbat tactica și vizează, de asemenea, gadget-uri iOS[4]. Experții susțin că scopul unor astfel de acțiuni este de a răspândi infecția la nivel global, deoarece noile atacuri de phishing iOS permit escrocii să obțină acreditările utilizatorului.

Conform cercetării, serviciul DNS fals rezolvă domeniul hxxp://security.apple.com/ la 172.247.116[.]155 IP adresă care are ca rezultat o redirecționare către site-ul web de phishing care arată excepțional de similar cu Apple legitim site-ul. Astfel, oamenii sunt păcăliți să furnizeze date sensibile direct infractorilor.

Site-ul web fals este, de asemenea, tradus în 25 de limbi diferite și este conceput pentru a colecta detalii Apple ID, inclusiv numărul cardului de credit, data de expirare, codul CVV, autentificare și parola. Singurele două limbi care lipsesc - georgiana și bengaleza.

Roaming Mantis este actualizat pentru a efectua activități de cripto-mining

Experții au analizat codul Roaming Mantis și au descoperit că acum este capabil să exploateze resursele computerului și să mine criptomonede. Acest lucru se datorează faptului că scriptul Coinhive a fost încorporat în codul sursă HTML[5]. Acest miner Javascript a câștigat recent succes în rândul hackerilor și a devenit utilizat pe scară largă în întreaga lume.

Odată ce utilizatorul este conectat la pagina de destinație de pe computer, puterea procesorului său devine accesibilă pentru web miner. De asemenea, utilizarea procesorului poate crește cu până la 100% și poate cauza deteriorarea computerului sau deteriorarea semnificativă a performanței acestuia. Pe termen lung, unele dispozitive pot deveni chiar inutilizabile.