Pesquisadores da Kaspersky Lab descobriram um novo tipo de malware Android espalhado por meio da tecnologia de seqüestro do sistema de nomes de domínio, cujo alvo principal são os smartphones da Ásia, que é chamado de Roaming Mantis e ainda é muito ativo. O objetivo do ataque é roubar informações do usuário, incluindo credenciais, para que o atacante possa assumir o controle total dos dispositivos infectados Android. De fevereiro a abril de 2018, os pesquisadores detectaram esse malware em mais de 150 redes de usuários. As principais vítimas são a Coréia do Sul, Bangladesh e Japão, e as vítimas podem ser mais: os pesquisadores acreditam que deveria haver uma organização de cibercrime por trás do ataque, que deveria ter o objetivo de obter lucros.
Vitaly Kamluk, Diretor Regional da Ásia-Pacífico da Equipe de Análise e Pesquisa Global da Kaspersky Lab (GReAT) disse: 'Uma mídia japonesa informou recentemente o ataque, mas depois de realizar algumas pesquisas, descobrimos que essa ameaça não se originou de Japão. Na verdade, encontramos várias pistas para indicar que o atacante por trás dessa ameaça está falando chinês ou coreano.Não só isso, a maioria das vítimas não estão no Japão. Roaming Mantis parece ser principalmente destinado a usuários coreanos, vítimas japonesas Parece ser algum tipo de dano colateral.
As descobertas da Kaspersky Lab indicam que os invasores por trás desse malware estão procurando por roteadores vulneráveis para atacar e espalhar o malware por meio de um método muito simples, mas eficaz, de seqüestrar as configurações de DNS do roteador infectado. O método do roteador ainda é desconhecido.Assim que o DNS é sequestrado com sucesso, a visita do usuário a qualquer site apontará para uma URL que parece real, onde o conteúdo é forjado e vem do servidor do invasor.Estes endereços exigirão que o usuário 'adquira' Para uma melhor experiência de navegação, atualize para a versão mais recente do Chrome. "Ao clicar no link, será iniciada a aplicação onde o Trojan implantado está instalado. Esses aplicativos infectados geralmente são denominados 'facebook.apk' ou 'chrome.apk', que contém Android Backdoor do atacante.
O Roaming Mantis Malware verifica o dispositivo em busca de root e solicita permissão para qualquer comunicação ou notificações de atividade de navegação feitas pelo usuário.Ele também coleta uma variedade de dados, incluindo credenciais de verificação em duas etapas.Os pesquisadores descobriram que alguns códigos de malware mencionados As identificações comuns de bancos móveis e de aplicativos de jogos na Coréia são combinadas, indicando que o objetivo desse ataque pode ser obter benefícios econômicos.
Os dados de teste da Kaspersky Lab encontraram cerca de 150 alvos a serem atacados Uma análise adicional revelou que, em média, existem milhares de conexões com servidores de comando e controle (C2) do atacante todos os dias, indicando que a escala dos ataques deve ser maior.
O design do malware Roaming Mantis indica que ele deve ser amplamente distribuído na Ásia e suporta quatro idiomas, coreano, chinês simplificado, japonês e inglês, mas as evidências que coletamos mostram que esse ataque está por trás dos bastidores. Os mais sofisticados são os coreanos e chineses simplificados.
Sauguru Ishimaru, um pesquisador de segurança japonês da Kaspersky Lab, disse: "O Roaming Mantis é uma ameaça ativa e que muda rapidamente. Por isso, agora publicamos as descobertas sem esperar até que encontremos todas as respostas. Esse ataque parece bastante Com uma grande motivação, precisamos melhorar a conscientização de nossos usuários sobre a prevenção, para que as pessoas e empresas possam reconhecer melhor essa ameaça.Este ataque usa roteadores infectados e meios de seqüestrar DNS, indicando forte proteção do dispositivo e conexão segura. Necessidade
Os produtos da Kaspersky Lab detectaram essa ameaça como 'Trojan-Banker.AndroidOS.Wroba'.
Para proteger sua conexão de Internet contra infecção, a Kaspersky Lab recomenda as seguintes medidas:
● Consulte as instruções de uso do roteador, verifique se as configurações de DNS não foram alteradas ou entre em contato com o provedor de serviços de Internet (ISP) para obter suporte.
● Altere o nome de login e a senha padrão da interface de gerenciamento do roteador.
● Não instale o firmware do roteador de uma fonte de terceiros Não use fontes de software de terceiros para o seu dispositivo Android.
● Atualize regularmente o firmware do seu roteador no roteador oficial.
Pesquisadores da Kaspersky Lab descobriram um novo tipo de malware Android que se espalha através da tecnologia de seqüestro de DNS (Sistema de Nomes de Domínio), cujo alvo principal são os smartphones na Ásia, chamado Roaming Mantis. É muito ativo. O objetivo do ataque é roubar informações do usuário, incluindo credenciais, para que o atacante possa controlar completamente o dispositivo Android infectado. De fevereiro a abril de 2018, os pesquisadores detectaram isso em mais de 150 redes de usuários. As principais vítimas estão localizadas na Coréia do Sul, Bangladesh e Japão, e as vítimas podem ser mais: os pesquisadores acreditam que deveria haver uma organização de cibercrime por trás do ataque, com o objetivo de obter lucro.
Vitaly Kamluk Kaspersky Lab Global Research and Analysis Team, Ásia-Pacífico (grande) disse: 'A mídia japonesa informou recentemente o ataque, mas encontrou um pouco depois fizemos algumas pesquisas, esta ameaça não se originou de Japão. de fato, encontramos diversos indícios que indicam que esta ameaça por trás dos atacantes dizer é chinês ou coreano. não só isso, a maioria das vítimas não estão no Japão. Roaming Mantis parece ser principalmente para usuários na Coréia do Sul, vítimas Japão parece ser algum tipo de dano incidental.
resultados da Kaspersky Lab mostram que os atacantes de malware por trás do router para encontrar vulnerável a ataques de um meio muito simples, mas eficaz de seqüestro as configurações do roteador DNS infectados da propagação da invasão atacante malwares método roteador ainda é desconhecida. uma vez DNS é roubar com sucesso um usuário para acessar qualquer comportamento site irá parecem apontar para um endereço URL real, o conteúdo do que são forjados, e do servidor de um atacante. esses endereços vai exigir dos usuários a fim de obter melhor experiência de navegação, faça o upgrade para a versão mais recente do Chrome. 'clicando no link iniciará uma aplicação a ser implantado Trojan é instalado, estas aplicações estão infectados são usualmente denominado' facebook.apk 'ou' chrome.apk', que contém backdoor de Andrews atacante.
São Roaming software malicioso Mantis verifica o dispositivo é raiz, e pedido permissão para ver qualquer comunicação ou notificação sobre as atividades realizadas pelo usuário. Ele também pode coletar uma variedade de dados, incluindo uma em duas etapas credenciais de autenticação. Os pesquisadores descobriram que parte do código de malware que se refere o Coreia do comum mobile banking e aplicação de jogos ID. Tomados em conjunto, estes são sinais de que o propósito deste ataque pode ser a obtenção de benefícios econômicos.
Kaspersky Lab detectados dados encontrados para ser cerca de 150 alvos, uma análise mais aprofundada também descobriram que uma média diária de milhares de ligações para o comando e controlo atacante servidor (C2), indicando que a dimensão do ataque deve ser maior.
Projeto Roaming Mantis malwares indica que ele deve ser amplamente difundido na Ásia. Além disso, ele suporta quatro línguas, ou seja, coreano, chinês simplificado, japonês e Inglês. Mostram, no entanto, a evidência que reunimos que o ataque nos bastidores Os mais sofisticados são os coreanos e chineses simplificados.
Kaspersky Lab pesquisador de segurança no Japão Suguru Ishimaru disse: 'Roaming Mantis é uma ameaça dinâmica e em rápida mudança que agora publicada uma descoberta relacionada, mas não esperar para encontrar todas as respostas após o lançamento deste ataque parece ter bastante. grande motivação, é preciso aumentar a sensibilização dos utilizadores, para que as pessoas e empresas são mais capazes de identificar a ameaça. o ataque e os meios para usar o sequestro router DNS infectadas, mostram um poderoso dispositivo para proteger e conexões seguras Necessidade
Os produtos da Kaspersky Lab detectaram essa ameaça como 'Trojan-Banker.AndroidOS.Wroba'.
Para proteger sua conexão de Internet contra infecção, a Kaspersky Lab recomenda as seguintes medidas:
● Consulte as instruções de uso do roteador, verifique se as configurações de DNS não foram alteradas ou entre em contato com o provedor de serviços de Internet (ISP) para obter suporte.
● Altere o nome de login e a senha padrão da interface de gerenciamento do roteador.
● Não instale o firmware do roteador de uma fonte de terceiros Não use fontes de software de terceiros para o seu dispositivo Android.
● Atualize regularmente o firmware do seu roteador no roteador oficial.
