Năm tháng sau khi Kaspersky Lab lần đầu công bố báo cáo về hoạt động hijack DNS nhằm lây nhiễm smartphone tại châu Á, cuộc tấn công biết đến với tên gọi “Roaming Mantis” vẫn hoạt động mạnh mẽ, sử dụng nhiều thủ pháp để mở rộng phạm vi lây nhiễm.
Các chuyên gia bảo mật cảnh báo rằng Roaming Mantis được thiết kế nhằm tấn công và mở rộng phạm vi đến nhiều người dùng. Chúng không ngừng mở rộng hoạt động lây nhiễm từ tháng 4 theo phạm vi và cách thức xâm nhập. Từ lây nhiễm thiết bị Android, chúng thực hiện hoạt động lừa đảo và giờ đây đang cố gắng đào tiền từ thiết bị iOS và chưa có dấu hiệu dừng lại.
"Các nhà nghiên cứu cũng chú ý đến việc hacker đã áp dụng phương pháp “trial and error” – Phép thử và sai – để kiểm tra xem phương pháp nào sẽ giúp chúng lấy được nhiều tiền trong thời gian ngắn. Kẻ tấn công đã hiệu chỉnh trang của phần mềm độc hại, sử dụng trang lừa đảo của Apple và trang đào tiền ảo", các chuyên gia của Kaspersky nhận định.
Roaming Mantis cũng đẩy mạnh tấn công và công cụ xâm nhập. Nhóm ban đầu chỉ tấn công hệ thống DNS của bộ định tuyến Wi-Fi để lây nhiễm người dùng Android ở Nhật Bản, Hàn Quốc, Ấn Độ và Bangladesh với ứng dụng bị Trojan lây nhiễm có tên facebook.apk.
Kaspersky Lab cũng phát hiện rằng kẻ tấn công phát tán phần mềm độc hại thông qua Prezi, phần mềm sử dụng nền tảng đám mây, cho phép đăng ký tài khoản miễn phí, khiến các giải pháp bảo mật gặp khó khăn trong quá trình phát hiện hoạt động lừa đảo và độc hại, vì trang web được xem là hợp pháp. Ngoài ra, nội dung chuyển hướng cho thấy Roaming Mantis đã sử dụng khuôn mẫu, điều này cho thấy Prezi cũng là hệ thống phát tán nội dung độc hại.
Roaming Mantis còn được biết đến với tên MoqHao và Xloader, bắt đầu hoạt động bằng 4 ngôn ngữ, và chỉ trong vòng 2 tháng đã thêm 20 ngôn ngữ bao gồm tiếng Bengal (Ấn Độ), tiếng Trung giản thể và phồn thể, Hindi, Indonesia, Nhật bản, Hàn Quốc, Malay, Tagalog (Philippines), Thái và tiếng Việt.
Sau lần cập nhật này, các nhà nghiên cứu đã phát hiện sự pha trộn trong môi trường ngôn ngữ, ví dụ người dùng ở Nhật Bản sẽ nhận được tin nhắn pop-up là tiếng Hàn.
Nhóm còn sử dụng HTML thay vì URL để chuyển hướng người dùng đến nội dung độc hại, trái với cách thức Prezi hoạt động như hệ thống phát tán trong thực tế. Kết quả, trang đích không thể lây nhiễm nạn nhân mục tiêu.
Để bảo vệ thiết bị trước tấn công của Roaming Mantis, Kaspersky Lab khuyến nghị người dùng nên thực hiện 4 việc sau: Kiểm tra cấu hình bộ định tuyến; Đổi tên và mật khẩu mặc định trên thiết bị, đặc biệt khi sử dụng để đào tiền ảo; Sử dụng giải pháp bảo mật mạnh mẽ cho toàn bộ các thiết bị; Và không cho phép “Cài đặt ứng dụng không rõ nguồn gốc”.