W ubiegłym miesiącu wykryto nowe szkodliwe oprogramowanie dla systemu Android, rozprzestrzeniane przy użyciu techniki przechwytywania ustawień DNS w routerach, które atakowało głównie urządzenia mobilne w Azji. Zagrożenie rozszerzyło zasięg o Europę (łącznie z Polską) i Bliski Wschód, stosując ataki phishingowe wymierzone w urządzenia z systemem iOS oraz zaprzęgając komputery PC do kopania kryptowaluty.
reklama
Celem kampanii, znanej pod nazwą Roaming Mantis, jest głównie kradzież informacji użytkowników, łącznie z danymi uwierzytelniającymi, oraz zapewnienie atakującym pełnej kontroli nad zainfekowanymi urządzeniami. Według badaczy za całą operacją stoi koreańsko- lub chińskojęzyczne ugrupowanie cyberprzestępcze motywowane chęcią osiągnięcia zysku finansowego.
Z ustaleń Kaspersky Lab wynika, że osoby odpowiedzialne za Roaming Mantis wyszukują podatne na ataki routery i rozprzestrzeniają szkodliwe oprogramowanie za pośrednictwem prostej, ale bardzo skutecznej sztuczki polegającej na przechwytywaniu ustawień DNS na tych urządzeniach sieciowych. Metoda infekowania routerów pozostaje nieznana. Gdy ustawienia DNS zostaną zmodyfikowane, użytkownik, który chce otworzyć dowolną stronę WWW, widzi na ekranie witrynę o prawidłowym adresie, jednak treść jest podstawiana z serwera kontrolowanego przez cyberprzestępców. Obejmuje ona zalecenie uaktualnienia przeglądarki do najnowszej wersji aplikacji Chrome („To better experience the browsing, update to the latest chrome version”). Kliknięcie odsyłacza inicjuje instalację zawierającej trojana aplikacji o nazwie facebook.apk lub chrome.apk, która umożliwia atakującym przejęcie kontroli nad zainfekowanym urządzeniem z Androidem.
Szkodliwe oprogramowanie sprawdza, czy zainfekowane urządzenie zostało zrootowane (proces dający dostęp do uprawnień administratora w systemie Android) i przechwytuje informacje o wszelkiej aktywności użytkownika związanej z przeglądaniem zasobów internetu. Szkodnik potrafi gromadzić szereg informacji, łącznie z danymi uwierzytelniającymi. Badacze odkryli, że fragmenty kodu szkodliwego programu odnoszą się do popularnych w Korei Południowej aplikacji bankowych i gier.
Na początku zidentyfikowano około 150 celów, główne w Korei Południowej, Bangladeszu oraz Japonii, jednak tysiące połączeń nawiązywanych każdego dnia z serwerami kontrolowanymi przez cyberprzestępców wskazują na znacznie większą skalę ataku. Szkodnik obejmował obsługę czterech języków: koreańskiego, uproszczonego chińskiego, japońskiego oraz angielskiego.
Obecnie zasięg ataków został rozszerzony i obsługiwanych jest łącznie 27 języków, w tym polski, niemiecki, włoski, czeski, hiszpański, arabski, bułgarski oraz rosyjski. Atakujący wprowadzili również przekierowanie do stron phishingowych o tematyce związanej z firmą Apple, jeżeli szkodliwe oprogramowanie trafi na urządzenie z systemem iOS. Najnowszym nabytkiem w arsenale cybergangu jest strona phishingowa wykorzystywana do angażowania mocy obliczeniowej komputerów PC do kopania kryptowaluty.
Źródło: Kaspersky Lab Polska
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|