Phần mềm độc hại này đang hoạt động rất mạnh mẽ nhằm đánh cắp thông tin người dùng và trao quyền kiểm soát thiết bị hoàn toàn cho kẻ tấn công. Từ tháng 2-4.2018, Roaming Mantis đã trú ẩn ở trên hơn 150 mạng lưới và đang tìm cách kiếm tiền từ hoạt động này.
Kết quả nghiên cứu của Kaspersky Lab chỉ ra rằng kẻ đứng sau phần mềm độc hại đang tìm kiếm lỗ hổng trên bộ định tuyến và phát tán phần mềm độc hại theo cách đơn giản nhưng cực kì hiệu: chiếm quyền kiểm soát DNS (hệ thống tên miền) của các bộ định tuyến đã bị lây nhiễm. Nhưng một khi DNS bị chiếm quyền kiếm soát, mọi cố gắng truy cập từ người dùng đều dẫn họ đến đường link thể hiện nội dung từ máy chủ của kẻ tấn công “để trải nghiệm trình duyệt tốt hơn, vui lòng cập nhật phiên bản mới nhất”. Và khi click vào đường link, tập tin có tên “facebook.apk” hoặc “chrome.apk” sẽ xuất hiện để người dùng cài đặt. Đây chính là nơi chứa backdoor (cửa hậu) Android từ hacker.
Các chuyên gia Kaspersky Lab đưa ra khuyến cáo rằng không bao giờ cài đặt phần mềm bộ định tuyến từ các nguồn của bên thứ ba; tránh sử dụng kho lưu trữ của bên thứ ba cho thiết bị Android; thường xuyên cập nhật firmware (phần mềm điều khiển cơ bản trong thiết bị) bộ định tuyến từ nguồn chính thức; thay đổi tên đăng nhập và mật khẩu mặc định cho giao diện web quản trị của bộ định tuyến…
