Roaming Mantis расширяет и встраивает скрипты для фишинга и майнинга iOS

РазноеDec 19, 2021

Вредоносное ПО для Android теперь эволюционировало и использует 27 разных языков

Иллюстрация блуждающего богомола

Roaming Mantis - банковский троян, также известный как XLoader и MoqHao.[1]. Раньше это в основном затрагивало только устройства Android, включая смартфоны, планшеты и т. Д. По словам исследователей, эта вредоносная программа была активна только в Бангладеш, Китае, Индии, Корее и Японии.

Однако последние новости показывают, что Roaming Mantis был переведен более чем на 27 других языков и дополнен дополнительными функциями.[2]. В настоящее время этот банковский троян нацелен на людей из Европы и Ближнего Востока, в том числе:

  • Болгарский;
  • Чешский язык;
  • Английский;
  • Иврит;
  • Армянский;
  • Итальянский;
  • Грузинский;
  • Малайский;
  • Португальский;
  • Сербохорватский;
  • Тагальский;
  • Украинец;
  • Традиционный китайский;
  • Арабский;
  • Бенгальский;
  • Немецкий;
  • Испанский язык;
  • Хинди;
  • Индонезийский;
  • Японский язык;
  • Корейский язык;
  • Польский;
  • Русский;
  • Тайский;
  • Турецкий;
  • Вьетнамский;
  • Упрощенный китайский.

Сугуру Ишимару, исследователь безопасности «Лаборатории Касперского», считает, что хакеры использовали стандартные методы автоматического перевода текста на разные языки и распространения их инфекции глобально

[3]:

Мы полагаем, что злоумышленник использовал простой метод, чтобы потенциально заразить большее количество пользователей, переведя их исходный набор языков с помощью автоматического переводчика.

Преступники стремятся заразить и iOS-устройства

Хотя вирус Roaming Mantis изначально был разработан только для Android, теперь хакеры изменили свою тактику и нацелены на гаджеты iOS.[4]. Эксперты утверждают, что цель таких действий - глобальное распространение инфекции, поскольку новые фишинговые атаки на iOS позволяют злоумышленникам получить учетные данные пользователя.

Согласно исследованию, поддельный DNS-сервис разрешает домен hxxp: //security.apple.com/ на 172.247.116 [.] 155 IP. адрес, который приводит к перенаправлению на фишинговый веб-сайт, который исключительно похож на законный Apple сайт. Таким образом, людей обманом заставляют предоставлять конфиденциальные данные непосредственно преступникам.

Фальшивый веб-сайт также переведен на 25 различных языков и предназначен для сбора данных Apple ID, включая номер кредитной карты, дату истечения срока действия, код CVV, логин и пароль. Отсутствуют только два языка - грузинский и бенгали.

Roaming Mantis обновлен для выполнения операций по майнингу криптовалют.

Эксперты проанализировали код Roaming Mantis и обнаружили, что теперь он может использовать ресурсы компьютера и добывать криптовалюту. Это связано с тем, что скрипт Coinhive был встроен в исходный код HTML.[5]. Этот майнер Javascript недавно завоевал успех среди хакеров и стал широко использоваться во всем мире.

Как только пользователь подключается к целевой странице с компьютера, мощность его процессора становится доступной для веб-майнера. Точно так же загрузка ЦП может увеличиться до 100% и вызвать повреждение ПК или значительное снижение его производительности. В конечном итоге некоторые устройства могут даже выйти из строя.