Roaming Mantis expanderar och bäddar in iOS phishing och mining skript

Android skadlig kod har nu utvecklats och använder 27 olika språk

Roaming Mantis illustration

Roaming Mantis är en banktrojan även känd som XLoader och MoqHao[1]. Tidigare påverkade det huvudsakligen bara Android-enheter, inklusive smartphones, surfplattor etc. Enligt forskarna var detta skadliga program aktivt bara i Bangladesh, Kina, Indien, Korea och Japan.

Men de senaste nyheterna visar att Roaming Mantis har översatts till mer än 27 andra språk och uppdaterats med ytterligare funktioner[2]. För närvarande är den här banktrojanen inriktad på människor från Europa och Mellanöstern, inklusive:

  • bulgariska;
  • tjeckiska;
  • Engelsk;
  • hebreiska;
  • armeniska;
  • italienska;
  • georgisk;
  • malajiska;
  • portugisiska;
  • serbokroatiska;
  • Tagalog;
  • ukrainska;
  • Traditionell kinesiska;
  • arabiska;
  • bengaliska;
  • Tysk;
  • spanska;
  • hindi;
  • indonesiska;
  • japanska;
  • koreanska;
  • Putsa;
  • ryska;
  • thailändska;
  • turkiska;
  • vietnamesiska;
  • Förenklad kinesiska.

Suguru Ishimaru, säkerhetsforskaren på Kaspersky Lab, tror att hackare har använt standard tekniker för att automatiskt översätta texten till olika språk och sprida deras infektion globalt[3]:

Vi tror att angriparen använde en enkel metod för att potentiellt infektera fler användare, genom att översätta deras ursprungliga uppsättning språk med en automatisk översättare.

Brottslingar strävar efter att också infektera iOS-enheter

Medan Roaming Mantis-viruset ursprungligen endast designades för Android, har hackare nu bytt taktik och riktar sig även mot iOS-prylar[4]. Experter hävdar att syftet med sådana åtgärder är att sprida infektionen globalt eftersom de nya iOS-nätfiskeattackerna gör det möjligt för skurkarna att få användaruppgifter.

Enligt forskningen löser falsk DNS-tjänst hxxp://security.apple.com/-domänen till 172.247.116[.]155 IP adress som resulterar i en omdirigering till nätfiskewebbplatsen som ser exceptionellt lik ut legitimt Apple webbplats. Därmed luras människor att lämna känsliga uppgifter direkt till brottslingarna.

Den falska webbplatsen är också översatt till 25 olika språk och är utformad för att samla in Apple ID-uppgifter, inklusive kreditkortsnummer, utgångsdatum, CVV-kod, inloggning och lösenord. De enda två språken som saknas — georgiska och bengali.

Roaming Mantis uppdateras för att utföra kryptominingaktiviteter

Experter har analyserat koden för Roaming Mantis och upptäckt att den nu kan utnyttja datorns resurser och bryta kryptovaluta. Detta beror på att Coinhives skript har bäddats in i HTML-källkoden[5]. Denna Javascript-gruvarbetare har nyligen vunnit framgång bland hackarna och blev allmänt använd över hela världen.

När användaren är ansluten till målsidan från datorn, blir dess CPU-kraft tillgänglig för webbmineraren. På samma sätt kan CPU-användningen öka med upp till 100 % och orsaka PC-skador eller betydande försämring av dess prestanda. På lång sikt kan vissa enheter till och med bli oanvändbara.