Kaspersky Labの研究者は、Androidマルウェアの伝搬技術、アジアでのスマートフォンのための主要なターゲットで新しいドメイン名システムの乗っ取りを発見した。このような攻撃はローミングカマキリと呼ばれ、今でも非常に有効ですその目的は、文書を含むなど、感染したAndroidデバイスの攻撃者が完全に制御することができ、ユーザー情報を盗むために攻撃することである。2018年4月-2月の間に、研究者は、ネットワーク上の150人の以上のユーザーがマルウェアを検出しました韓国、バングラデシュと日本の主な犠牲者、そしておそらくより多くの犠牲者が。研究者は、この攻撃の背後にその目的は利益のためにする必要がありますサイバー犯罪組織を持つべきであると考えています。
ヴィタリーKamlukカスペルスキーグローバルリサーチと分析チーム、アジア・パシフィック(グレート)は言った:「我々はいくつかの研究をした後、日本のメディアは最近、攻撃を報告したが、少しを発見し、この脅威が由来していませんでした日本は。実際には、我々は攻撃の背後に、この脅威は中国人や韓国人であると言うことを示すいくつかの手がかりを見つけました。それだけでなく、犠牲者のほとんどは日本ではありません。ローミングマンティスは韓国、日本の被災者のユーザーのために主にあるように思われます何らかの副次的な被害があるようだ。
Kaspersky Labの調査結果によれば、このマルウェアの背後にある攻撃者は、感染したルータのDNS設定をハイジャックする非常にシンプルで効果的な方法でマルウェアを攻撃し拡散する脆弱なルータを探しています。 DNSが成功裏にハイジャックされると、ユーザのウェブサイトへのアクセスは、コンテンツが偽造され、攻撃者のサーバから来る一見現実的なURLアドレスを指すことになります。これらの感染したアプリケーションは通常「facebook.apk」または「chrome.apk」という名前が付けられています。このファイルには、以下のものが含まれています。攻撃者のAndroidバックドアプログラム。
Roaming Mantis Malwareは、デバイスのルートを確認し、ユーザーが行った通信またはブラウジングアクティビティ通知の許可を要求し、2段階の認証資格情報を含むさまざまなデータも収集します。韓国の一般的なモバイルバンキングとゲームのアプリケーションIDは組み合わされており、この攻撃の目的は経済的利益を得ることである可能性があることを示しています。
攻撃対象となる約150のターゲットが見つかり、攻撃者のコマンドとコントロール(C2)サーバーとの接続が毎日平均で数千回あり、攻撃の規模が大きくなることが示されています。
Roaming Mantis悪意のあるソフトウェアの設計は、アジアでの普及を目的としていることを示しています。また、韓国語、簡体字中国語、日本語、英語の4言語をサポートしています。最も洗練された脅威は、韓国語と簡体字中国語です。
ローミングマンティスは、我々は今、関連の発見を発表し、ダイナミックかつ急速に変化する脅威である」が、この攻撃のリリースはかなり持っているようだ後にすべての答えを見つけるために待機しませんでした:Kaspersky Labは、日本英石丸でのセキュリティ研究者は述べています。大きな動機、私たちは、人々や企業が脅威を識別しやすくなりますように、ユーザーの意識を高める必要がある。攻撃と感染したルータのDNSハイジャックを使用するための手段、保護するための強力なデバイスを表示し、安全な接続必要 "
カスペルスキー製品は、「トロイの木馬-Banker.AndroidOS.Wroba」として、この脅威を検出します。
インターネット接続は、感染から保護するために、Kaspersky Labは、次の措置をとることをお勧めします。
●DNS設定が変更されていないことを確認してください、またはサポートのためのインターネットサービスプロバイダ(ISP)に連絡し、お使いのルーターの説明書を参照してください。
●ルータの管理インターフェイスのデフォルトのログイン名とパスワードを変更します。
●サードパーティのソースからのルータのファームウェアをインストールしないでください。あなたのAndroidデバイス用のサードパーティ製のソフトウェアのソースを使用しないでください。
●定期的に公式のルータからルータのファームウェアをアップグレードします。
Kaspersky Labの研究者は、ドメインネームシステム(DNS)の最新の一つは、Androidマルウェアの伝播技術、アジアにおけるスマートフォンの主な標的を乗っ取ることがわかった。このような攻撃はローミングカマキリと呼ばれ、今でも非常に活発な、それは目的が、含めて4月に2018年2月の間に。感染したAndroidデバイスの攻撃者が完全に制御することができ、ドキュメントなど、ユーザー情報を盗むためにある攻撃、研究者は、ネットワーク上の150人の以上のユーザーを検出しました悪意のあるソフトウェアの種類、韓国、バングラデシュと日本の主な犠牲者、そしておそらくより多くの犠牲者が。研究者は、この攻撃の背後にその目的は利益のためにする必要がありますサイバー犯罪組織を持つべきであると考えています。
ヴィタリーKamlukカスペルスキーグローバルリサーチと分析チーム、アジア・パシフィック(グレート)は言った:「我々はいくつかの研究をした後、日本のメディアは最近、攻撃を報告したが、少しを発見し、この脅威が由来していませんでした日本は。実際には、我々は攻撃の背後に、この脅威は中国人や韓国人であると言う。それだけでなく、犠牲者のほとんどは日本ではありません。ローミングマンティスは、韓国のユーザーのために主に日本の犠牲者のように見えることを示すいくつかの手がかりを見つけました何らかの副次的な被害があるようだ。
カスペルスキーの調査結果では、ルータの背後にあるマルウェア攻撃者がマルウェア攻撃者の侵入の普及の感染ルータのDNS設定をハイジャックの非常にシンプルだが効果的な手段による攻撃に対して脆弱で検索していることを示してルータ方法はまだ不明です。DNSが正常に任意のサイトの振る舞いにアクセスするためのユーザーをハイジャックされると、実際のURLアドレス、偽造されている内容、および攻撃者のサーバから指し示すように見えます。これらのアドレスは得るためには、ユーザーが必要になりますより良いブラウジング体験は、Chromeの最新バージョンにアップグレードしてください。含まれている、facebook.apk「または」chrome.apkを」「リンクをクリックしてアプリケーションを起動しますトロイの木馬がインストールされている注入する、感染しているこれらのアプリケーションは、通常と呼ばれます」攻撃者のAndroidバックドアプログラム。
マンティス悪意のあるソフトウェアをローミングしていると、デバイスがルート、およびユーザーによって実行される活動に関するあらゆる通信や通知を表示するための要求許可でチェックします。また、2段階の認証証明書を含むさまざまなデータを収集することができます。研究者は、マルウェアのコードの一部が言及ことがわかりました韓国の一般的なモバイルバンキングやゲームアプリケーションIDが。まとめると、これらは、この攻撃の目的は、経済的利益を得ることかもしれ兆候です。
カスペルスキーは、約150の標的であることが見出されたデータを検出し、さらなる分析にも発見した攻撃の規模が大きくなければならないことを示す攻撃コマンドとコントロール(C2)サーバーへの接続の数千の毎日の平均。
Roaming Mantis悪意のあるソフトウェアの設計は、アジアでの普及を目的としていることを示しています。また、韓国語、簡体字中国語、日本語、英語の4言語をサポートしています。最も洗練された脅威は、韓国語と簡体字中国語です。
ローミングマンティスは、我々は今、関連の発見を発表し、ダイナミックかつ急速に変化する脅威である」が、この攻撃のリリースはかなり持っているようだ後にすべての答えを見つけるために待機しませんでした:Kaspersky Labは、日本英石丸でのセキュリティ研究者は述べています。大きな動機、私たちは、人々や企業が脅威を識別しやすくなりますように、ユーザーの意識を高める必要がある。攻撃と感染したルータのDNSハイジャックを使用するための手段、保護するための強力なデバイスを表示し、安全な接続必要性 '
カスペルスキー製品は、この脅威を「Trojan-Banker.AndroidOS.Wroba」として検出しました。
感染からあなたのインターネット接続を保護するために、Kaspersky Labは以下の措置を推奨します:
●ご使用のルータの取扱説明書を参照し、DNS設定が変更されていないことを確認するか、インターネットサービスプロバイダ(ISP)にサポートを依頼してください。
●ルータ管理インタフェースのデフォルトのログイン名とパスワードを変更します。
●サードパーティ製のソースからルータのファームウェアをインストールしないでください。Androidデバイス用にサードパーティのソフトウェアソースを使用しないでください。
●ルータのファームウェアを公式のルータから定期的にアップグレードします。
