ตอนนี้มัลแวร์ Android ได้พัฒนาและใช้ภาษาต่างๆ ถึง 27 ภาษา
Roaming Mantis เป็นโทรจันธนาคารที่เรียกว่า XLoader และ MoqHao[1]. ก่อนหน้านี้มีผลเฉพาะกับอุปกรณ์ Android เท่านั้น เช่น สมาร์ทโฟน แท็บเล็ต ฯลฯ นักวิจัยระบุว่าโปรแกรมที่เป็นอันตรายนี้มีการใช้งานในบังคลาเทศ จีน อินเดีย เกาหลี และญี่ปุ่นเท่านั้น
อย่างไรก็ตาม ข่าวล่าสุดระบุว่า Roaming Mantis ได้รับการแปลเป็นภาษาอื่น ๆ มากกว่า 27 ภาษาและอัปเดตด้วยคุณสมบัติเพิ่มเติม[2]. ในปัจจุบัน โทรจันธนาคารนี้มุ่งเป้าไปที่ผู้คนจากยุโรปและตะวันออกกลาง รวมถึง:
- บัลแกเรีย;
- เช็ก;
- ภาษาอังกฤษ;
- ภาษาฮิบรู;
- อาร์เมเนีย;
- อิตาลี;
- จอร์เจียน;
- มาเลย์;
- โปรตุเกส;
- เซอร์โบ-โครเอเชีย;
- ตากาล็อก;
- ยูเครน;
- จีนดั้งเดิม;
- อาหรับ;
- เบงกาลี;
- เยอรมัน;
- สเปน;
- ฮินดี;
- ชาวอินโดนีเซีย;
- ญี่ปุ่น;
- เกาหลี;
- ขัด;
- รัสเซีย;
- ไทย;
- ตุรกี;
- เวียดนาม;
- ภาษาจีนตัวย่อ
Suguru Ishimaru นักวิจัยด้านความปลอดภัยที่ Kaspersky Lab คิดว่าแฮกเกอร์ใช้มาตรฐาน เทคนิคการแปลข้อความเป็นภาษาต่าง ๆ โดยอัตโนมัติและแพร่เชื้อ ทั่วโลก[3]:
เราเชื่อว่าผู้โจมตีใช้วิธีง่ายๆ ในการแพร่เชื้อไปยังผู้ใช้มากขึ้น โดยการแปลชุดภาษาเริ่มต้นโดยใช้โปรแกรมแปลอัตโนมัติ
อาชญากรตั้งเป้าที่จะแพร่เชื้อไปยังอุปกรณ์ iOS เช่นกัน
ในขณะที่ไวรัส Roaming Mantis ได้รับการออกแบบมาสำหรับ Android เท่านั้น แต่ตอนนี้แฮกเกอร์ได้เปลี่ยนกลยุทธ์และกำหนดเป้าหมายอุปกรณ์ iOS[4]. ผู้เชี่ยวชาญอ้างว่าจุดประสงค์ของการกระทำดังกล่าวคือการแพร่กระจายการติดไวรัสไปทั่วโลก เนื่องจากการโจมตีแบบฟิชชิ่งบน iOS แบบใหม่ทำให้เหล่ามิจฉาชีพได้รับข้อมูลประจำตัวของผู้ใช้
จากการวิจัยพบว่าบริการ DNS ปลอมแก้ไขโดเมน hxxp://security.apple.com/ เป็น 172.247.116[.]155 IP ที่อยู่ซึ่งส่งผลให้มีการเปลี่ยนเส้นทางไปยังเว็บไซต์ฟิชชิ่งซึ่งดูคล้ายกับ Apple. ที่ถูกกฎหมายเป็นพิเศษ งาน. ดังนั้น ผู้คนจึงถูกหลอกให้ให้ข้อมูลที่ละเอียดอ่อนแก่อาชญากรโดยตรง
เว็บไซต์ปลอมยังได้รับการแปลเป็นภาษาต่างๆ ถึง 25 ภาษา และออกแบบมาเพื่อรวบรวมรายละเอียด Apple ID รวมถึงหมายเลขบัตรเครดิต วันหมดอายุ รหัส CVV การเข้าสู่ระบบ และรหัสผ่าน มีเพียงสองภาษาที่ขาดหายไป — จอร์เจียและเบงกาลี
Roaming Mantis ได้รับการอัปเดตเพื่อทำกิจกรรมการขุด crypto
ผู้เชี่ยวชาญได้วิเคราะห์รหัสของ Roaming Mantis และพบว่าขณะนี้สามารถใช้ประโยชน์จากทรัพยากรของคอมพิวเตอร์และขุด cryptocurrency เนื่องจากสคริปต์ของ Coinhive ถูกฝังลงในซอร์สโค้ด HTML[5]. เครื่องมือขุด Javascript นี้เพิ่งประสบความสำเร็จในหมู่แฮกเกอร์และถูกใช้อย่างแพร่หลายทั่วโลก
เมื่อผู้ใช้เชื่อมต่อกับหน้า Landing Page จากคอมพิวเตอร์แล้ว พลัง CPU ของผู้ใช้จะสามารถเข้าถึงได้โดย Web Miner ในทำนองเดียวกัน การใช้งาน CPU อาจเพิ่มขึ้นถึง 100% และทำให้พีซีเสียหายหรือประสิทธิภาพการทำงานลดลงอย่างมาก ในระยะยาว อุปกรณ์บางอย่างอาจใช้ไม่ได้ด้วยซ้ำ