Forscher von Kaspersky Lab haben eine neue Art von Android-Malware entdeckt, die sich durch die Hijacking-Technologie des Domain-Namen-Systems verbreitet: Ihr Hauptziel sind Smartphones in Asien, die Roaming Mantis genannt werden und immer noch sehr aktiv sind. Der Zweck des Angriffs besteht darin, Benutzerinformationen einschließlich der Anmeldeinformationen zu stehlen, damit der Angreifer die volle Kontrolle über infizierte Android-Geräte erlangen kann.Von Februar bis April 2018 haben die Forscher diese Malware in mehr als 150 Benutzernetzwerken entdeckt. Die Hauptopfer sind in Südkorea, Bangladesch und Japan, und die Opfer könnten mehr sein .. Die Forscher glauben, dass hinter dem Angriff eine Cyberkriminalitätsorganisation stehen sollte, die darauf abzielen sollte, Geld zu verdienen.
Vitaly Kamluk, Regionaldirektor von Asia Pacific für das globale Forschungs- und Analyseteam von Kaspersky Lab (GReAT), sagte: "Eine japanische Presse berichtete kürzlich über diesen Angriff, aber nachdem wir einige Nachforschungen angestellt hatten, stellten wir fest, dass diese Bedrohung nicht von Japan: Tatsächlich fanden wir mehrere Hinweise darauf, dass der Angreifer, der hinter dieser Bedrohung steckt, Chinesisch oder Koreanisch spricht und nicht nur die meisten Opfer nicht in Japan sind.Roaming Mantis scheint hauptsächlich auf koreanische Nutzer, japanische Opfer, ausgerichtet zu sein Scheint eine Art Kollateralschaden zu sein.
Kaspersky Labs Ergebnisse deuten darauf hin, dass die Angreifer hinter dieser Malware nach anfälligen Routern suchen, um die Malware durch eine sehr einfache und effektive Methode des Angreifens der DNS-Einstellungen des infizierten Routers zu attackieren und zu verbreiten. Router-Methode ist noch unbekannt. Sobald DNS erfolgreich einen Benutzer kapern jede Website Verhalten zuzugreifen scheinen auf eine reale URL-Adresse zu verweisen, deren Inhalt geschmiedet werden, und von einem Server des Angreifers. diese Adressen werden die Benutzer benötigen, um zu erhalten besseres Erlebnis, ein Upgrade auf die neueste Version von Chrome. ‚auf den Link klicken, wird eine Anwendung starten zu implantierenden Trojan installiert ist, werden diese Anwendungen sind infiziert gewöhnlich als‘ facebook.apk ‚oder‘ chrome.apk‘, die enthält Angreifer Android Backdoor-Programm.
Roaming Mantis bösartiger Software überprüft das Gerät root ist, und um Erlaubnis bitten jede Kommunikation oder eine Benachrichtigung über die Tätigkeit durch den Benutzer anzuzeigen. Es kann auch eine Vielzahl von Daten, einschließlich einer zweistufigen Authentifizierungsinformationen. Die Forscher fanden heraus sammeln, dass einige der Malware-Code bezeichnet Die gemeinsamen IDs für mobile Banking- und Spieleanwendungen in Korea werden kombiniert, was darauf hindeutet, dass der Zweck dieses Angriffs darin besteht, wirtschaftliche Vorteile zu erzielen.
In den Testdaten von Kaspersky Lab wurden ungefähr 150 Ziele gefunden, die angegriffen werden konnten.Weitere Analysen ergaben, dass durchschnittlich tausende Verbindungen zu den Kommando- und Kontrollservern des Angreifers (C2) pro Tag bestehen, was darauf hindeutet, dass das Ausmaß der Angriffe größer sein sollte.
Das Design von Roaming Mantis Malicious Software weist darauf hin, dass es in Asien weit verbreitet sein soll, und es unterstützt vier Sprachen, nämlich Koreanisch, vereinfachtes Chinesisch, Japanisch und Englisch, aber die Beweise zeigen, dass dieser Angriff hinter den Kulissen stattfindet. Die anspruchsvollsten Threater sind Koreanisch und vereinfachtes Chinesisch.
Kaspersky Lab Sicherheitsforscher bei Japan Suguru Ishimaru sagte: ‚Roaming Mantis ist ein dynamisches und schnell verändernden Bedrohung, der wir nun eine ähnliche Entdeckung veröffentlicht, aber warten Sie nicht alle Antworten finden nach der Veröffentlichung dieses Angriffs ganz zu haben scheint. große Motivation, müssen wir das Bewusstsein der Benutzer erhöhen, so dass die Menschen und Unternehmen sind besser in der Lage, die Bedrohung zu identifizieren. der Angriff und die Mittel, um das Router DNS-Hijacking infiziert zu verwenden, ein leistungsfähiges Gerät zeigen, zu schützen und sichere Verbindungen Notwendigkeit
Kaspersky-Lab-Produkte haben diese Bedrohung als "Trojan-Banker.AndroidOS.Wroba" erkannt.
Um Ihre Internetverbindung vor Infektionen zu schützen, empfiehlt Kaspersky Lab folgende Maßnahmen:
● die Anweisungen für Ihren Router finden, stellen Sie sicher, haben Sie Ihre DNS-Einstellungen nicht geändert worden ist, oder Ihren Internetdienstanbieter (ISP) für die Unterstützung.
● Ändern Sie den Standard-Anmeldenamen und das Standardkennwort der Routerverwaltungsschnittstelle.
● Installieren Sie die Router-Firmware nicht von einer Drittanbieterquelle, sondern verwenden Sie keine Drittanbieter-Softwarequellen für Ihr Android-Gerät.
● Aktualisieren Sie regelmäßig die Router-Firmware vom offiziellen Router.
Kaspersky Lab Forscher fanden heraus, dass eine der neuesten vom Domain Name System (DNS) Hijacking Android Malware-Verbreitung Techniken, die Hauptzielgruppe für Smartphones in Asien. Solche Angriffe Roaming Mantis genannt werden, nach wie vor sehr aktiv, es greift der Zweck Benutzerinformationen zu stehlen ist, einschließlich Dokumenten, einschließlich, so dass der Angreifer die vollständige Kontrolle über Android-Geräte infiziert. im Februar 2018 April entdeckt Forscher mehr als 150 Benutzern im Netzwerk, zu dem Arten von bösartiger Software, die Hauptopfer in Südkorea, Bangladesch und Japan, und möglicherweise mehr Opfer. glauben die Forscher hinter diesem Angriff eine Internet-Kriminalität Organisation, dessen Ziel sollte sein, für Gewinn, dass haben sollten.
Vitaly Kamluk von Kaspersky Lab Global Research and Analysis Team, Asien-Pazifik (gut) sagte: ‚Ein japanischer Medien vor kurzem den Angriff berichtet, fand aber ein wenig, nachdem wir einige der Forschung getan hat, diese Bedrohung nicht stammen aus Japan. in der Tat fanden wir mehrere Hinweise darauf hinweist, dass diese Bedrohung hinter den Angreifern sagen ist Chinesisch oder Koreanisch. nicht nur das, die meisten Opfer sind nicht in Japan. Roaming Mantis in erster Linie für Nutzer in Südkorea, Japan, Opfer zu sein scheint Scheint eine Art Kollateralschaden zu sein.
Kaspersky Labs Ergebnisse deuten darauf hin, dass die Angreifer hinter dieser Malware nach anfälligen Routern suchen, um die Malware durch eine sehr einfache und effektive Methode des Angreifens der DNS-Einstellungen des infizierten Routers zu attackieren und zu verbreiten. Router-Methode ist noch unbekannt. Sobald DNS erfolgreich einen Benutzer kapern jede Website Verhalten zuzugreifen scheinen auf eine reale URL-Adresse zu verweisen, deren Inhalt geschmiedet werden, und von einem Server des Angreifers. diese Adressen werden die Benutzer benötigen, um zu erhalten besseres Erlebnis, ein Upgrade auf die neueste Version von Chrome. ‚auf den Link klicken, wird eine Anwendung starten zu implantierenden Trojan installiert ist, werden diese Anwendungen sind infiziert gewöhnlich als‘ facebook.apk ‚oder‘ chrome.apk‘, die enthält Angreifer Android Backdoor-Programm.
Roaming Mantis bösartiger Software überprüft das Gerät root ist, und um Erlaubnis bitten jede Kommunikation oder eine Benachrichtigung über die Tätigkeit durch den Benutzer anzuzeigen. Es kann auch eine Vielzahl von Daten, einschließlich einer zweistufigen Authentifizierungsinformationen. Die Forscher fanden heraus sammeln, dass einige der Malware-Code bezeichnet Die gemeinsamen IDs für mobile Banking- und Spieleanwendungen in Korea werden kombiniert, was darauf hindeutet, dass der Zweck dieses Angriffs darin besteht, wirtschaftliche Vorteile zu erzielen.
Die Testdaten von Kaspersky Lab fanden etwa 150 zu attackierende Ziele.Weitere Analysen ergaben, dass es durchschnittlich tausende von Verbindungen zu den Kommando- und Kontrollservern (C2) von Angreifern gibt, was darauf hindeutet, dass das Ausmaß der Angriffe größer sein sollte.
Design Roaming Mantis Malware zeigt an, dass es ist weit verbreitet in Asien verbreitet werden. Darüber hinaus unterstützt es vier Sprachen, nämlich Koreanisch, vereinfachtes Chinesisch, Japanisch und Englisch. Doch die Beweise, die wir gesammelt haben, zeigt, dass der Angriff hinter den Kulissen Die anspruchsvollsten Threater sind Koreanisch und vereinfachtes Chinesisch.
Kaspersky Lab Sicherheitsforscher bei Japan Suguru Ishimaru sagte: ‚Roaming Mantis ist ein dynamisches und schnell verändernden Bedrohung, der wir nun eine ähnliche Entdeckung veröffentlicht, aber warten Sie nicht alle Antworten finden nach der Veröffentlichung dieses Angriffs ganz zu haben scheint. große Motivation, müssen wir das Bewusstsein der Benutzer erhöhen, so dass die Menschen und Unternehmen sind besser in der Lage, die Bedrohung zu identifizieren. der Angriff und die Mittel, um das Router DNS-Hijacking infiziert zu verwenden, ein leistungsfähiges Gerät zeigen, zu schützen und sichere Verbindungen Notwendigkeit
Kaspersky Lab Produkt wird diese Bedrohung als ‚Trojan-Banker.AndroidOS.Wroba‘ erkennen.
Um Ihre Internetverbindung vor Infektionen zu schützen, empfiehlt Kaspersky Lab folgende Maßnahmen:
● die Anweisungen für Ihren Router finden, stellen Sie sicher, haben Sie Ihre DNS-Einstellungen nicht geändert worden ist, oder Ihren Internetdienstanbieter (ISP) für die Unterstützung.
● Ändern Sie den Standard-Anmeldenamen und das Standardkennwort der Routerverwaltungsschnittstelle.
● Verwenden Sie keine Router-Firmware von Drittanbietern installieren. Sie keine Software von Drittanbietern für Ihr Android-Gerät verwenden.
● Aktualisieren Sie regelmäßig die Router-Firmware vom offiziellen Router.
