Este grupo de cibercriminosos anda a almejar os dispositivos iOS, como sistema de fornecimento de conteúdo ou Content Delivery System, para injetar código malicioso. Este grupo já tinha incorrido noutras ações, incluindo spoofar apps legítimas do Facebook e do Chrome.
Este malware que injetam já tem suporte a quase 37 línguas em vários países, que agora começaram a campanha de crypto-mining.
Um dos sites ou serviços online que o grupo anda a tentar usar para conseguir o seu objetivo é o prezi.com, tentando levar o utilizador a ver conteúdo grátis como vídeos.
Método de infeção
Numa primeira fase, o atacante compromete a vítima através de uma página de phishing da Apple, de forma a roubar as suas credenciais. Enquanto tal acontece, o script de mineração é adicionado ao código HTML da página e começa a operação de mineração no dispositivo iOS.
Quando um utilizador acede a essa página fake, apenas lhe irá ser mostrada uma página em branca, mas o script de mining começa a ser executado e o uso do CPU aumenta imediatamente a uma taxa de 90%.
Mas o grupo não fica por estas páginas. Usam também ficheiros .apk, das apps Android, e neste caso, é usado um apk de nome "sagawa.apk", usando este meio para chegar ao sistema. O vetor de ataque começa quando os utilizadores recebem uma mensagem de phishing no telemóvel com uma notificação também ela especialmente concebida, por parte de uma empresa japonesa de entregas, com um URL. Aí, assim que o utilizador clica no link, é redirecionado para o website malicioso, onde o sagawa.apk irá ser descarregado e instalado.
No caso do prezi, o que acontece também é que de forma a expandir o esquema, assim que o utilizador clica num link falso, irá ser redirecionado para uma página de adultos, onde o script de mineração irá ser injetado.
Para mais informações sobre este grupo e as suas ações, podes consultar este link da Kaspersky, que te faz uma análise mais completa das ações do mesmo, tal como os ataques que conseguem desencadear: https://securelist.com/roaming-mantis-part-3/88071/