Роаминг Мантис проширује и уграђује иОС скрипте за пхисхинг и рударење

МисцелланеаDec 19, 2021
click fraud protection

Андроид малвер је сада еволуирао и користи 27 различитих језика

Илустрација лутајуће богомољке

Роаминг Мантис је банкарски тројанац познат и као КСЛоадер и МокХао[1]. Раније је углавном утицао само на Андроид уређаје, укључујући паметне телефоне, таблете итд. Према истраживачима, овај злонамерни програм био је активан само у Бангладешу, Кини, Индији, Кореји и Јапану.

Међутим, најновије вести показују да је Роаминг Мантис преведен на више од 27 других језика и ажуриран додатним функцијама[2]. Тренутно, овај банкарски тројанац циља људе из Европе и Блиског истока, укључујући:

  • бугарски;
  • чешки;
  • Енглески језик;
  • хебрејски;
  • Јерменски;
  • Италијан;
  • грузијски;
  • малајски;
  • португалски;
  • Српско-хрватски;
  • Тагалог;
  • украјински;
  • традиционални кинески;
  • арапски;
  • бенгалски;
  • Немачки;
  • Шпански;
  • Хинди;
  • индонезијски;
  • јапански;
  • Корејски;
  • Пољски;
  • Руски;
  • тајландски;
  • турски;
  • вијетнамски;
  • Поједностављени кинески.

Сугуру Исхимару, истраживач безбедности у Касперски Лаб-у, сматра да су хакери користили стандард технике за аутоматско превођење текста на различите језике и ширење њихове инфекције глобално[3]:

Верујемо да је нападач искористио лак начин да потенцијално зарази више корисника, преводећи њихов почетни скуп језика помоћу аутоматског преводиоца.

Криминалци такође имају за циљ да заразе иОС уређаје

Док је вирус Роаминг Мантис првобитно био дизајниран само за Андроид, сада су хакери променили своје тактике и циљају и иОС уређаје[4]. Стручњаци тврде да је сврха оваквих акција да се зараза прошири глобално, јер нови иОС пхисхинг напади омогућавају лоповима да добију корисничке акредитиве.

Према истраживању, лажни ДНС сервис решава хккп://сецурити.аппле.цом/ домен на 172.247.116[.]155 ИП адреса која резултира преусмеравањем на веб локацију за пхисхинг која изгледа изузетно слично легитимном Аппле-у сајту. Дакле, људи су преварени да дају осетљиве податке директно криминалцима.

Лажна веб локација је такође преведена на 25 различитих језика и дизајнирана је за прикупљање детаља о Аппле ИД-у, укључујући број кредитне картице, датум истека, ЦВВ код, пријаву и лозинку. Једина два језика која недостају — грузијски и бенгалски.

Роаминг Мантис је ажуриран за обављање активности крипто рударења

Стручњаци су анализирали код Роаминг Мантис и открили да је сада у стању да експлоатише ресурсе рачунара и рудари криптовалуте. То је зато што је Цоинхиве-ова скрипта уграђена у ХТМЛ изворни код[5]. Овај Јавасцрипт рудар је недавно постигао успех међу хакерима и постао је широко коришћен широм света.

Када се корисник повеже са одредишном страницом са рачунара, његова ЦПУ снага постаје доступна веб рудару. Исто тако, употреба ЦПУ-а може се повећати и до 100% и узроковати оштећење рачунара или значајно погоршање његових перформанси. Дугорочно, неки уређаји могу чак постати неупотребљиви.