V polovině dubna informovali odborníci Kaspersky Lab o novém malwaru zaměřeném na zařízení s operačním systémem Android. Malware, zacílený převážně na asijské uživatele, se šířil prostřednictvím systému DNS a hijacking techniky. Od té doby se výrazně vyvinul a rozšířil.
Kyberzločinci přidali phishingové nástroje zacílené na zařízení s iOS, a mezi oběti se nově zařadili i uživatelé v Evropě a na Blízkém východě. Ohroženi mohou tak být i čeští uživatelé, protože malware nově podporuje mimo jiné i češtinu. Novou zbraní tohoto malwaru je i schopnost nelegálně těžit kryptoměny na pevných počítačích. Tato kampaň, pojmenovaná Roaming Mantis, je navržená tak, aby jejím prostřednictvím hackeři získali citlivé údaje uživatelů a plnou kontrolu nad jejich zařízeními. Odborníci předpokládají, že za útoky stojí buď korejsky, nebo čínsky mluvící hackerská skupina.
Podle zjištění zločinci zodpovědní za Roaming Mantis zneužívají zranitelnosti routerů. Zařízení infikují malwarem pomocí velmi jednoduchého, ale efektivního podvodu, kdy se zmocní nastavení DNS infikovaných routerů. Jakou konkrétní metodu využívají k napadení routerů zatím není zcela jasné. Jakmile kyberzločinci získají přístup k DNS, začne webový prohlížeč přesměrovávat uživatele na věrohodně vypadající webovou stránku s podvodným obsahem. Ta formou upozornění nabádá uživatele, aby si stáhli nejaktuálnější verzi Chrome prohlížeče. Pokud uživatelé na odkaz kliknou, stáhne se jim aplikace nazvaná „facebook.apk“ nebo „chrome.apk“, která obsahuje trojského koně a backdoor útočníků do zařízení s OS Android.
Malware Roaming Mantis také kontroluje, jestli došlo k rootování zařízení a případně požaduje upozornění na jakoukoliv uživatelovu komunikaci nebo vyhledávání na internetu. Zároveň je schopný shromažďovat velké množství dat včetně přihlašovacích údajů pro dvoufázovou autentizaci. Tento fakt, spolu s částí malwarového kódu, který odkazuje na ID oblíbených jihokorejských herních a online-bankingových aplikací, dává tušit, že jsou hlavní motivací kyberzločinců peníze.