Roaming Mantis rozširuje a vkladá iOS phishingové a ťažobné skripty

RôzneDec 19, 2021
click fraud protection

Malvér pre Android sa teraz vyvinul a používa 27 rôznych jazykov

Ilustrácia kudlanky nábožnej

Roaming Mantis je bankový trójsky kôň známy aj ako XLoader a MoqHao[1]. Predtým sa to týkalo najmä zariadení s Androidom, vrátane smartfónov, tabletov atď. Podľa vedcov bol tento škodlivý program aktívny len v Bangladéši, Číne, Indii, Kórei a Japonsku.

Najnovšie správy však ukazujú, že Roaming Mantis bol preložený do viac ako 27 ďalších jazykov a aktualizovaný o ďalšie funkcie.[2]. V súčasnosti sa tento bankový trójsky kôň zameriava na ľudí z Európy a Stredného východu, vrátane:

  • bulharčina;
  • čeština;
  • Angličtina;
  • hebrejčina;
  • arménsky;
  • taliančina;
  • gruzínsky;
  • malajčina;
  • portugalčina;
  • srbochorvátčina;
  • tagalčina;
  • ukrajinčina;
  • Tradičná čínština;
  • arabčina;
  • bengálčina;
  • nemčina;
  • španielčina;
  • hindčina;
  • indonézsky;
  • japončina;
  • kórejčina;
  • poľština;
  • ruský;
  • thajčina;
  • turečtina;
  • Vietnamci;
  • Zjednodušená čínština.

Suguru Ishimaru, bezpečnostný výskumník v Kaspersky Lab, si myslí, že hackeri použili štandard techniky na automatický preklad textu do rôznych jazykov a šírenie ich infekcie globálne[3]:

Domnievame sa, že útočník použil jednoduchú metódu na potenciálne infikovanie viacerých používateľov tým, že preložil ich počiatočnú sadu jazykov pomocou automatického prekladača.

Cieľom zločincov je infikovať aj iOS zariadenia

Zatiaľ čo vírus Roaming Mantis bol pôvodne navrhnutý len pre Android, teraz hackeri zmenili taktiku a zameriavajú sa aj na miniaplikácie pre iOS[4]. Odborníci tvrdia, že účelom takýchto akcií je globálne rozšírenie infekcie, pretože nové phishingové útoky na iOS umožňujú podvodníkom získať poverenia používateľa.

Podľa prieskumu falošná služba DNS prekladá doménu hxxp://security.apple.com/ na 172.247.116[.]155 IP adresu, čo vedie k presmerovaniu na phishingovú webovú stránku, ktorá vyzerá výnimočne podobne ako legitímna spoločnosť Apple stránky. Ľudia sú teda oklamaní, aby poskytli citlivé údaje priamo zločincom.

Falošná webová stránka je tiež preložená do 25 rôznych jazykov a je navrhnutá tak, aby zhromažďovala podrobnosti o Apple ID, vrátane čísla kreditnej karty, dátumu vypršania platnosti, CVV kódu, prihlasovacieho mena a hesla. Jediné dva jazyky, ktoré chýbajú — gruzínčina a bengálčina.

Roaming Mantis je aktualizovaný, aby mohol vykonávať aktivity ťažby kryptomien

Odborníci analyzovali kód Roaming Mantis a zistili, že teraz je schopný využívať zdroje počítača a ťažiť kryptomenu. Je to preto, že skript Coinhive bol vložený do zdrojového kódu HTML[5]. Tento Javascript baník nedávno získal úspech medzi hackermi a stal sa široko používaným po celom svete.

Akonáhle je používateľ pripojený k cieľovej stránke z počítača, výkon jeho procesora sa stane prístupným pre webový baník. Podobne sa môže využitie procesora zvýšiť až o 100 % a spôsobiť poškodenie počítača alebo výrazné zhoršenie jeho výkonu. Z dlhodobého hľadiska môžu byť niektoré zariadenia dokonca nepoužiteľné.