Cybergang Roaming Mantis atakuje smartfony

16-04-2018, 11:18

Badacze wykryli nowe szkodliwe oprogramowanie dla systemu Android rozpowszechniane z użyciem techniki przechwytywania ustawień DNS. Kampania cyberprzestępcza, nazwana Roaming Mantis, pozostaje aktywna i ma na celu kradzież informacji użytkowników łącznie z danymi logowania i pozwala na przejęcie kontroli nad zainfekowanymi urządzeniami mobilnymi.

W okresie luty-kwiecień 2018 r. badacze wykryli to szkodliwe oprogramowanie głównie w Korei Południowej, Bangladeszu oraz Japonii. Jednak z dużym prawdopodobieństwem istnieją także ofiary zlokalizowane w innych częściach świata. Zdaniem ekspertów z Kaspersky Lab cyberprzestępcy stojący za operacją są motywowani chęcią zysku. Z badań wynika, że atakujący stojący za omawianymi atakami szukają routerów podatnych na ataki i dystrybuują szkodliwe oprogramowanie z użyciem prostego triku polegającego na przechwyceniu ustawień DNS w tych urządzeniach sieciowych. Sama metoda wykorzystywana do atakowania routerów pozostaje nieznana. Gdy ustawienia DNS zostaną zmodyfikowane, użytkownik, który chce otworzyć dowolną stronę WWW widzi na ekranie witrynę o prawidłowym adresie, jednak treść jest podstawiana z serwera kontrolowanego przez cyberprzestępców. Zawiera ona komunikat informujący użytkownika, że w celu zwiększenia komfortu przeglądania internetu należy zainstalować nową wersję przeglądarki. Kliknięcie wyświetlanego odnośnika inicjuje instalację konia trojańskiego, który umożliwia atakującemu przejęcie kontroli nad zainfekowanym urządzeniem z Androidem.

Szkodliwe oprogramowanie Roaming Mantis sprawdza, czy zainfekowane urządzenie zostało zrootowane (proces dający dostęp do uprawnień administratora w systemie Android) i przechwytuje informacje o wszelkiej aktywności użytkownika związanej z przeglądaniem zasobów internetu. Szkodnik potrafi gromadzić szereg informacji łącznie z danymi uwierzytelniającymi. Badacze odkryli, że fragmenty kodu szkodliwego programu odnoszą się do popularnych w Korei Południowej aplikacji bankowych i gier.

Wstępna analiza wykazała około 150 ofiar, jednak dalsze badanie ujawniło, że każdego dnia kilka tysięcy zainfekowanych urządzeń próbowało łączyć się z serwerami cyberprzestępców, co wskazuje na większą skalę ataku.

Projekt szkodliwego oprogramowania Roaming Mantis może wskazywać, że zostało ono przygotowane z myślą o szerokiej dystrybucji w Azji. Szkodnik obsługuje cztery języki: koreański, chiński uproszczony, japoński oraz angielski. Ślady pozostawione w kodzie przez cyberprzestępców sugerują, że autorzy posługują się głównie językiem koreańskim i chińskim uproszczonym.

Produkty Kaspersky Lab wykrywają szkodliwe oprogramowanie Roaming Mantis jako Trojan-Banker.AndroidOS.Wroba. Aby zabezpieczyć swoje połączenie internetowe przed infekcjami podobnymi do Roaming Mantis, należy wykonać następujące działania:

 

  • Zmień domyślny login i hasło do panelu administracyjnego swojego routera.
  • Upewnij się, że ustawienia DNS w routerze nie zostały zmodyfikowane. Jeżeli nie wiesz, jakie są prawidłowe ustawienia DNS, skontaktuj się ze swoim dostawcą internetu.
  • Unikaj instalowania w routerze oprogramowania układowego (firmware) pochodzącego od nieautoryzowanych dostawców.
  • Nie instaluj na urządzeniach z Androidem aplikacji spoza oficjalnych źródeł.

 

Regularnie uaktualniaj oprogramowanie układowe swojego routera z oficjalnego źródła.

źródło: Kaspersky Lab


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2018»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.