Roaming Mantis розширює та вбудовує скрипти для фішингу та майнінгу iOS

РізнеDec 19, 2021
click fraud protection

Зловмисне програмне забезпечення для Android зараз розвинулося і використовує 27 різних мов

Ілюстрація богомолів

Roaming Mantis — це банківський троян, також відомий як XLoader і MoqHao[1]. Раніше це в основному торкалося лише пристроїв Android, включаючи смартфони, планшети тощо. За словами дослідників, ця шкідлива програма була активна лише в Бангладеш, Китаї, Індії, Кореї та Японії.

Однак останні новини показують, що Roaming Mantis було перекладено більш ніж на 27 інших мов і оновлено додатковими функціями.[2]. Наразі цей банківський троян націлений на людей з Європи та Близького Сходу, зокрема:

  • болгарський;
  • чеський;
  • англійська;
  • іврит;
  • вірменський;
  • італійська;
  • грузинська;
  • малайська;
  • португальська;
  • сербохорватська;
  • тагальська;
  • український;
  • Традиційна китайська;
  • арабська;
  • бенгальська;
  • німецька;
  • іспанська;
  • гінді;
  • індонезійська;
  • японські;
  • корейський;
  • польський;
  • Російський;
  • тайська;
  • турецька;
  • в'єтнамська;
  • Спрощена Китайська.

Сугуру Ішимару, дослідник безпеки з Лабораторії Касперського, вважає, що хакери використовували стандартні методи автоматичного перекладу тексту різними мовами та поширення їх зараження глобально[3]:

Ми вважаємо, що зловмисник скористався простим методом, щоб потенційно заразити більше користувачів, переклавши їхній початковий набір мов за допомогою автоматичного перекладача.

Злочинці також прагнуть заразити пристрої iOS

Хоча вірус Roaming Mantis спочатку був розроблений лише для Android, тепер хакери змінили свою тактику та також націлені на гаджети iOS.[4]. Експерти стверджують, що метою таких дій є поширення інфекції по всьому світу, оскільки нові фішингові атаки iOS дозволяють шахраям отримати облікові дані користувача.

Згідно з дослідженням, фіктивна служба DNS розв’язує домен hxxp://security.apple.com/ до 172.247.116[.]155 IP адреса, яка призводить до переспрямування на фішинговий веб-сайт, який виглядає надзвичайно схожим на законний Apple сайт. Таким чином, людей обманом надають конфіденційні дані безпосередньо злочинцям.

Підроблений веб-сайт також перекладено 25 різними мовами і призначений для збору даних Apple ID, включаючи номер кредитної картки, термін дії, CVV-код, логін і пароль. Єдині дві мови, яких не вистачає, — грузинська та бенгальська.

Roaming Mantis оновлено для виконання крипто-майнінгу

Експерти проаналізували код Roaming Mantis і виявили, що тепер він може експлуатувати ресурси комп’ютера і добувати криптовалюту. Це тому, що скрипт Coinhive був вбудований у вихідний код HTML[5]. Цей майнер Javascript нещодавно здобув успіх серед хакерів і став широко використовуватися в усьому світі.

Як тільки користувач підключається до цільової сторінки з комп’ютера, його потужність ЦП стає доступною для веб-майнера. Аналогічно, використання ЦП може збільшитися до 100% і призвести до пошкодження ПК або значного погіршення його продуктивності. У довгостроковій перспективі деякі пристрої можуть навіть стати непридатними.