Roaming Mantis razširi in vdela skripte za lažno predstavljanje in rudarjenje v sistemu iOS

MiscellaneaDec 19, 2021
click fraud protection

Zlonamerna programska oprema za Android se je zdaj razvila in uporablja 27 različnih jezikov

Ilustracija gostujoče bogomolke

Roaming Mantis je bančni trojanec, znan tudi kot XLoader in MoqHao[1]. Prej je vplival predvsem na naprave Android, vključno s pametnimi telefoni, tablicami itd. Po mnenju raziskovalcev je bil ta zlonamerni program aktiven samo v Bangladešu, na Kitajskem, v Indiji, Koreji in na Japonskem.

Vendar pa najnovejše novice kažejo, da je bila Roaming Mantis prevedena v več kot 27 drugih jezikov in posodobljena z dodatnimi funkcijami[2]. Trenutno ta bančni trojanec cilja na ljudi iz Evrope in Bližnjega vzhoda, vključno z:

  • bolgarščina;
  • češčina;
  • Angleščina;
  • hebrejščina;
  • armenski;
  • italijanski;
  • gruzijski;
  • malajščina;
  • portugalščina;
  • srbohrvaščina;
  • tagalog;
  • ukrajinski;
  • Tradicionalno kitajsko;
  • Arabsko;
  • bengalščina;
  • nemški;
  • Španski;
  • hindijščina;
  • indonezijski;
  • japonski;
  • korejski;
  • poljski;
  • ruski;
  • tajski;
  • turški;
  • vietnamski;
  • Poenostavljena kitajščina.

Suguru Ishimaru, varnostni raziskovalec pri Kaspersky Labu, meni, da so hekerji uporabili standardne tehnike za samodejno prevajanje besedila v različne jezike in širjenje okužbe globalno[3]:

Verjamemo, da je napadalec uporabil enostavno metodo, da bi potencialno okužil več uporabnikov, tako da je njihov začetni nabor jezikov prevedel s samodejnim prevajalcem.

Kriminalci želijo okužiti tudi naprave iOS

Medtem ko je bil virus Roaming Mantis sprva zasnovan samo za Android, so zdaj hekerji zamenjali svoje taktike in ciljajo tudi na pripomočke iOS[4]. Strokovnjaki trdijo, da je namen takšnih dejanj širjenje okužbe po vsem svetu, saj novi napadi z lažnim predstavljanjem v iOS-u omogočajo prevarantom, da pridobijo uporabniške poverilnice.

Glede na raziskavo lažna storitev DNS razreši domeno hxxp://security.apple.com/ na 172.247.116[.]155 IP naslov, ki povzroči preusmeritev na spletno mesto z lažnim predstavljanjem, ki je videti izjemno podobno zakonitemu Appleu spletno mesto. Tako so ljudje zavedeni, da občutljive podatke posredujejo neposredno kriminalcem.

Ponarejeno spletno mesto je prevedeno tudi v 25 različnih jezikov in je zasnovano tako, da zbira podatke o Apple ID-ju, vključno s številko kreditne kartice, datumom poteka veljavnosti, kodo CVV, prijavo in geslom. Edina dva jezika, ki manjkata - gruzijski in bengalski.

Roaming Mantis je posodobljen za izvajanje dejavnosti kripto-rudarstva

Strokovnjaki so analizirali kodo Roaming Mantis in odkrili, da je zdaj sposoben izkoriščati računalniške vire in rudariti kriptovaluto. To je zato, ker je bil skript Coinhive vdelan v izvorno kodo HTML[5]. Ta rudar Javascript je pred kratkim dosegel uspeh med hekerji in je postal široko uporabljen po vsem svetu.

Ko je uporabnik iz računalnika povezan s ciljno stranjo, postane njegova moč CPU dostopna spletnemu rudarju. Podobno se lahko poraba CPE poveča do 100 % in povzroči poškodbe računalnika ali znatno poslabšanje njegove zmogljivosti. Dolgoročno lahko nekatere naprave celo postanejo neuporabne.