Эксперты «Лаборатории Касперского» рассказали о новых атаках Roaming Mantis, за которым они наблюдают со времени обнаружения зловреда в апреле 2018 года. За несколько месяцев он эволюционировал из простого DNS-спуфера в комплексноый троян, который объединяет в себе фишинг, шпионские функции и скрытый майнинг криптовалюты.

Представители первого поколения Roaming Mantis атаковали пользователей Android-устройств в Южной Корее, Бангладеше и Японии. Зловред охотился за данными пластиковых карт, заражая жертв банковским трояном под видом обновлений Facebook и Chrome. Владельцы ПК также находились под угрозой — Roaming Mantis использовал их ресурсы для добычи криптовалюты. Для этого злоумышленники встроили в код скрипт CoinHive.

Новая версия трояна, которую «Лаборатория Касперского» описала в конце мая, получила набор шпионских функций — сбор пользовательских и системных данных, управление звонками и сообщениями, запись звука через встроенный микрофон. Зловред также начал атаковать владельцев iOS‑устройств, воруя их приватную информацию через поддельный сайт Apple. На этой странице жертвам Roaming Mantis предлагалось указать свой Apple ID с паролем и реквизиты банковской карты.

В новой версии Roaming Mantis злоумышленники также расширили применение CoinHive — он стал запускаться и на iOS-устройствах.

«Основной мотив злоумышленников — быстрое получение прибыли, — уточняют эксперты «Лаборатории Касперского». — Они поочередно используют фишинговый сайт и страницу веб-майнинга в зависимости от того, какой способ принесет больше денег в каждом конкретном случае».

Образцы, замеченные в последних атаках, обладают несколькими новыми особенностями. Так, преступники арендовали службу спуфинга, которая подменяет номер отправителя SMS-сообщений. Это помогает им в распространении зловреда. Еще одно новшество технического характера — теперь один из установочных файлов Roaming Mantis называется sagawa.apk вместо facebook.apk.

По информации «Лаборатории Касперского», на данный момент Россия входит в топ-3 стран с наибольшим числом жертв трояна. Стоит отметить, что сегодня в Интернете можно найти 27 языковых версий Roaming Mantis. По мнению экспертов, это говорит о планах преступников расширить географию своих атак, в первую очередь — за счет европейских и ближневосточных стран.

Троян наносит атаки через бытовые роутеры, поэтому специалисты напоминают пользователям о необходимости менять заводские учетные данные маршрутизатора. Кроме того, необходимо устанавливать приложения только из официальных источников и использовать специализированные защитные продукты для мобильных устройств.

Категории: Вредоносные программы, Главное, Мошенничество, Хакеры