Программа использует технику перехвата DNS: она позволяет перенаправлять пользователя на вредоносный веб-сайт при введении в браузере имени вполне безобидного ресурса, отмечают специалисты по кибербезопасности.
Злоумышленники осуществляют атаку за счет внедрения в настройки скомпрометированных роутеров своих адресов DNS-серверов. Так, в случае мобильных устройств на базе Android после попадания пользователя на вредоносный сайт пользователю предлагают обновить браузер.
После этого начинается загрузка вредоносного приложения с именем chrome.apk. В процессе установки приложение запрашивает большое количество различных разрешений. Конечной целью мошенников обычно является кража аккаунтов Google и данных банковой карты.
На обычных персональных компьютерах Roaming Mantis запускает майнинговый скрипт CoinHive — он добывает криптовалюту в пользу злоумышленников, а также существенно нагружает процессор.