4月16日,卡巴斯基实验室研究人员报告了一种最新的安卓恶意软件。该恶意软件通过域名系统(DNS)劫持技术进行传播,主要针对亚洲地区的智能手机进行攻击。
四周后,这种威胁仍然在继续快速演化,并且将其攻击目标地理范围扩展到欧洲和中东地区,还为iOS设备和计算机的加密货币挖矿功能增加了一个钓鱼选项。这种被称为Roaming Mantis的网络攻击行动的目标只要是窃取用户信息,包括凭证在内的信息,让攻击者完全控制受感染设备。研究人员认为,这次攻击行动的幕后黑手应该是一个说韩语或中文的试图获取经济收益的网络犯罪组织。
攻击手段
卡巴斯基实验室的研究表明,Roaming Mantis背后的攻击者会搜寻包含漏洞的路由器进行入侵,通过非常简单,但是很有效的劫持受感染路由器DNS设置的方法来传播恶意软件。攻击者入侵路由器的手段仍然未知。一旦DNS被成功劫持,用户访问任何网站的企图都会打开一个看上去真实的包含伪造内容的URL地址,其实来自攻击者的服务器。页面包含一个提示请求:“为了获得更好的浏览体验,请更新到最新版的Chrome浏览器。”点击链接会启动安装一个名为“facebook.apk”或“chrome.apk”的木马应用,其中包含攻击者的安卓后门程序。
Roaming Mantis恶意软件会检查被感染设备是否获取了root权限,并请求获得有关用户进行的任何通信或浏览活动的通知权限。它还能够收集大量数据,包括双因素认证凭证。收集登陆凭证的兴趣以及恶意软件代码提到了韩国常见的手机银行和游戏应用程序ID,表明这次攻击行动的目的可能是为了获得经济利益。
攻击目标地理范围扩大,功能增多
卡巴斯基实验室的初始调查发现了约150个被攻击目标,主要位于韩国、孟加拉和日本。此外还发现每天有数千次连接攻击者命令和控制(C2)服务器的行为,表明攻击的规模应该更大。这种恶意软件支持四种语言,分别为:韩语、简体中文、日语和英语。
现在,攻击的范围已经扩大,共支持27种语言,其中包括波兰语、德语、阿拉伯语、保加利亚语和俄语。如果恶意软件遇到iOS设备,攻击者还引入了页面重定向,将用户重定向到一个苹果主题的钓鱼页面。这种恶意软件最新增加的功能是一个具有加密货币挖矿功能的恶意页面。卡巴斯基实验室的观察表明,至少有一波更为广泛的攻击发生,因为研究人员注意到几天内卡巴斯基实验室客户中就有超过100个被攻击目标。
“我们在4月份最早报告Roaming Mantis时说过这是一种非常活跃并且快速变化的威胁。新的证据显示,其攻击目标访问大幅扩张,包含了欧洲和中东地区。我们认为攻击者是寻求经济利益的网络罪犯,我们还发现多个线索,表明攻击者说的是中文或韩语。这种威胁背后显然有明显的动机,所以不可能在短期内消失。这次的攻击使用受感染的路由器,同时劫持DNS,凸显了进行设备保护以及使用安全连接的必要性,”卡巴斯基实验室日本安全研究员Suguru Ishimaru说。
卡巴斯基实验室产品将Roaming Mantis威胁检测为“Trojan-Banker.AndroidOS.Wroba”。
为了保护您的互联网链接不受感染,卡巴斯基实验室建议采取以下措施:
- 请参阅您的路由器的使用说明,确保您的DNS设置没有被更改,或者联系您的互联网服务提供商(ISP)寻求支持。
- 更改路由器管理界面的默认登录名和密码,定期从官方来源更新您的路由器固件。
- 不要从第三方来源安装路由器固件。避免为您的安卓设备使用第三方软件来源。
- 另外,一定要检查浏览器和网址,确保网站是合法的;当输入数据时,检查是否有https标志。
- 安装移动安全解决方案,例如卡巴斯基安全软件安卓版,保护您的设备抵御各种威胁。
更多有关Roaming Mantis的详情以及技术信息,请浏览Securelist上的博文。
