Các nhà nghiên cứu của Kaspersky Lab đã phát hiện ra một phần mềm độc hại Android mới được phân phối thông qua kỹ thuật tấn công và nhắm mục tiêu hệ thống tên miền (DNS) smartphones, chủ yếu ở Châu Á. Chiến dịch có tên Roaming Mantis vẫn hoạt động mạnh mẽ và được thiết kế để lấy cắp thông tin người dùng bao gồm thông tin đăng nhập và cung cấp cho những kẻ tấn công toàn quyền kiểm soát thiết bị Android bị xâm phạm. Từ tháng 2 đến tháng 4 năm 2018, các nhà nghiên cứu đã phát hiện phần mềm độc hại này trong hơn 150 mạng người dùng, chủ yếu ở Hàn Quốc, Bangladesh và Nhật Bản, nhưng có khả năng còn nhiều nạn nhân hơn. Các nhà nghiên cứu tin rằng một nhóm tội phạm mạng đang tìm kiếm lợi nhuận tài chính đứng đằng sau hoạt động này.
Theo Vitaly Kamluk, Giám đốc Nhóm Phân tích Nghiên cứu Toàn cầu (GReAT) – APAC, “Câu chuyện gần đây đã được đưa tin trên các phương tiện truyền thông Nhật Bản, nhưng khi chúng tôi nghiên cứu thêm một chút, chúng tôi nhận thấy rằng mối đe dọa không bắt nguồn từ đó. Trên thực tế, chúng tôi đã tìm thấy một số manh mối cho thấy kẻ tấn công đằng sau mối đe dọa này nói tiếng Trung hoặc tiếng Hàn. Hơn nữa, phần lớn nạn nhân cũng không ở Nhật Bản. Roaming Mantis dường như tập trung chủ yếu vào Hàn Quốc và Nhật Bản dường như là một loại thiệt hại tài sản thế chấp ”.
Các phát hiện của Kaspersky Lab chỉ ra rằng những kẻ tấn công đằng sau phần mềm độc hại đang tìm kiếm các bộ định tuyến dễ bị xâm nhập và phân phối phần mềm độc hại thông qua một thủ thuật đơn giản nhưng rất hiệu quả là chiếm đoạt cài đặt DNS của các bộ định tuyến bị nhiễm đó. Phương pháp xâm phạm bộ định tuyến vẫn chưa được biết. Khi DNS bị tấn công thành công, bất kỳ nỗ lực nào của người dùng truy cập vào bất kỳ trang web nào đều dẫn họ đến một URL trông giống thật với nội dung giả mạo đến từ máy chủ của kẻ tấn công. Điều này bao gồm yêu cầu: “Để trải nghiệm duyệt web tốt hơn, hãy cập nhật lên phiên bản chrome mới nhất.” Nhấp vào liên kết sẽ bắt đầu cài đặt một ứng dụng Trojanised có tên là ‘facebook.apk’ hoặc ‘chrome.apk’, chứa backdoor Android của những kẻ tấn công.
Phần mềm độc hại Roaming Mantis kiểm tra xem thiết bị đã được root hay chưa và yêu cầu quyền được thông báo về bất kỳ hoạt động liên lạc hoặc duyệt web nào do người dùng thực hiện. Nó cũng có khả năng thu thập nhiều loại dữ liệu, bao gồm cả thông tin xác thực để xác thực hai yếu tố. Các nhà nghiên cứu phát hiện ra rằng một số mã phần mềm độc hại bao gồm các tham chiếu đến các ID ứng dụng trò chơi và ngân hàng di động phổ biến ở Hàn Quốc. Tổng hợp lại, các chỉ số này cho thấy một động cơ tài chính có thể có đằng sau chiến dịch này.
Trong khi dữ liệu phát hiện của Kaspersky Lab phát hiện ra khoảng 150 mục tiêu, phân tích sâu hơn cũng cho thấy hàng nghìn kết nối tấn công máy chủ chỉ huy & kiểm soát (C2) của kẻ tấn công hàng ngày, chỉ ra quy mô tấn công lớn hơn nhiều.
Thiết kế phần mềm độc hại của Roaming Mantis cho thấy nó được thiết kế để phân phối rộng rãi hơn trên khắp châu Á. Trong số những thứ khác, nó hỗ trợ bốn ngôn ngữ: tiếng Hàn, tiếng Trung giản thể, tiếng Nhật và tiếng Anh. Tuy nhiên, các đồ tạo tác thu thập được cho thấy những kẻ đe dọa đằng sau cuộc tấn công này hầu hết đều quen thuộc với tiếng Hàn và tiếng Trung giản thể.
“Roaming Mantis là một mối đe dọa đang hoạt động và thay đổi nhanh chóng. Đây là lý do tại sao chúng tôi công bố những phát hiện của mình ngay bây giờ, thay vì đợi cho đến khi chúng tôi có tất cả câu trả lời. Dường như có một động lực đáng kể đằng sau các cuộc tấn công này và chúng tôi cần nâng cao nhận thức để Suguru Ishimaru, Nhà nghiên cứu bảo mật tại Kaspersky Lab Nhật Bản, cho biết việc sử dụng các bộ định tuyến bị nhiễm và DNS bị tấn công nêu bật nhu cầu bảo vệ thiết bị mạnh mẽ và sử dụng các kết nối an toàn. ‘Trojan-Banker.AndroidOS.Wroba’.
Để bảo vệ kết nối Internet của bạn khỏi sự lây nhiễm này, Kaspersky Lab khuyến nghị những điều sau:
Tham khảo hướng dẫn sử dụng bộ định tuyến của bạn để xác minh rằng cài đặt DNS của bạn không bị giả mạo hoặc liên hệ với ISP của bạn để được hỗ trợ. Thay đổi thông tin đăng nhập và mật khẩu mặc định cho giao diện web quản trị của bộ định tuyến. Không bao giờ cài đặt chương trình cơ sở của bộ định tuyến từ các nguồn của bên thứ ba. Tránh sử dụng kho của bên thứ ba cho các thiết bị Android của bạn. Thường xuyên cập nhật chương trình cơ sở của bộ định tuyến từ nguồn chính thức.
. .
. .
…
