Kaspersky Labs forskare har upptäckt en ny skadlig programvara för Android som distribueras genom en teknik för att attackera och rikta in sig på smartphones med domännamnssystem (DNS), främst i Asien. Kampanjen som heter Roaming Mantis pågår fortfarande och är utformad för att stjäla användarinformation inklusive inloggningsuppgifter och ge angripare full kontroll över den komprometterade Android-enheten. Mellan februari och april 2018 upptäckte forskare denna skadliga programvara i mer än 150 användarnätverk, främst i Sydkorea, Bangladesh och Japan, men det finns sannolikt fler offer. Forskarna tror att en grupp cyberbrottslingar som söker ekonomisk vinning ligger bakom denna aktivitet.
Enligt Vitaly Kamluk, direktör för Global Research Analysis Group (GReAT) – APAC, “Berättelsen täcktes nyligen i japanska medier, men när vi gjorde lite mer forskning fick vi det. fann att hotet inte hade sitt ursprung där. . Faktum är att vi hittade några ledtrådar om att angriparen bakom detta hot talar kinesiska eller koreanska. Dessutom var majoriteten av offren inte heller i Japan. Roaming Mantis verkar främst fokusera på Korea och Japan verkar vara en slags sidoskada.”
Kaspersky Labs resultat tyder på att angriparna bakom skadlig programvara hittar sårbara routrar och distribuerar skadlig programvara genom ett enkelt men mycket effektivt knep för att ta över kapa DNS-inställningarna för de infekterade routrarna. Metoden att kompromissa med routern är fortfarande okänd. När DNS lyckas hackas, leder varje försök från en användare att besöka en webbplats dem till en URL som ser verklig ut med falskt innehåll som kommer från angriparens server. Detta inkluderar att fråga: “För en bättre webbupplevelse, uppdatera till den senaste versionen av chrome.” Genom att klicka på länken initieras installationen av en trojaniserad applikation som heter ‘facebook.apk’ eller ‘chrome.apk’, som innehåller Android-bakdörren för angriparna.
Roaming Mantis skadliga program kontrollerar om enheten är rotad och ber om tillåtelse att meddelas om all kommunikation eller surfaktivitet som utförs av användaren. Den kan också samla in en mängd olika data, inklusive autentiseringsuppgifter för tvåfaktorsautentisering. Forskarna fann att en del av skadlig kod inkluderade referenser till populära mobilbank- och spelapp-ID:n i Sydkorea. Sammantaget antyder dessa mätvärden ett möjligt ekonomiskt motiv bakom denna kampanj.
Medan Kaspersky Labs detektionsdata upptäcker cirka 150 mål, avslöjar ytterligare analys också tusentals anslutningar som träffar angriparnas kommando- och kontrollservrar dagligen, vilket indikerar den mycket större attackvävnaden.
Roaming Mantis design av skadlig programvara tyder på att den var designad för att distribueras bredare över Asien. Bland annat stöder den fyra språk: koreanska, förenklad kinesiska, japanska och engelska. De insamlade artefakterna visar dock att hotaktörerna bakom denna attack mestadels är bekanta med koreanska och förenklad kinesiska.
“Roaming Mantis är ett aktivt och snabbt föränderligt hot. Det är därför vi publicerar våra resultat nu, snarare än att vänta tills vi har alla svar. Det verkar finnas en betydande drivkraft bakom dessa attacker och vi måste öka medvetenheten så att Suguru Ishimaru, säkerhetsforskare vid Kaspersky Lab Japan, sa att användningen av infekterade routrar och en hackad DNS belyser behovet av starkt enhetsskydd och användningen av säkra anslutningar. ‘Trojan-Banker.AndroidOS.Wroba’.
För att skydda din internetanslutning från denna infektion rekommenderar Kaspersky Lab följande:
Se din routers manual för att verifiera att dina DNS-inställningar inte har manipulerats, eller kontakta din internetleverantör för hjälp. Ändra standardinloggning och lösenord för routerns adminwebbgränssnitt. Installera aldrig routerns firmware från tredjepartskällor. Undvik att använda tredjepartsförråd för dina Android-enheter. Uppdatera regelbundet routerns firmware från den officiella källan.
. .
. .
…
