Исследователи из «Лаборатории Касперского» обнаружили новый тип распространения вредоносных программ для Android с помощью технологии захвата доменных имен. Ее основной целью являются смартфоны в Азии. Эта атака называется «Роуминг Мантис» и по-прежнему очень активна. Целью атаки является кража информации пользователя, включая учетные данные, чтобы злоумышленник мог полностью контролировать зараженные устройства Android. С февраля по апрель 2018 года исследователи обнаружили это вредоносное ПО в более чем 150 пользовательских сетях. Основные жертвы находятся в Южной Корее, Бангладеш и Японии, а жертвы могут быть больше. Исследователи полагают, что за нападением должна быть организация киберпреступности. Цель ее должна заключаться в получении прибыли.
Виталий Камлук, региональный директор Азиатско-Тихоокеанского региона в «Глобальной исследовательской и аналитической группе« Лаборатории Касперского »(GReAT), сказал:« Японские СМИ недавно сообщили об этой атаке, но после проведения некоторых исследований мы обнаружили, что эта угроза исходит не из Япония. Фактически, мы обнаружили несколько подсказок, указывающих на то, что злоумышленник, стоящий за этой угрозой, говорит по-китайски или корейски. Не только это, большинство жертв не в Японии. Роуминг Мантис, похоже, в основном нацелен на корейских пользователей, японских жертв Кажется, это какой-то сопутствующий урон.
Выводы Лаборатории Касперского показывают, что злоумышленники, стоящие за этим вредоносным ПО, ищут уязвимых маршрутизаторов для атаки и распространения вредоносного ПО с помощью очень простого, но эффективного метода захвата DNS-параметров зараженного маршрутизатора. Метод маршрутизатора до сих пор неизвестен. Как только DNS будет успешно захвачен, доступ пользователя к любому веб-сайту укажет на кажущийся реалистичный URL-адрес, где контент подделан и исходит от сервера злоумышленника. Эти адреса потребуют от пользователя «приобретения», Для улучшения работы в браузере обновите до последней версии Chrome. «Нажав на ссылку, вы запустите приложение, в котором установлен имплантированный троянский конь. Эти зараженные приложения обычно называются« facebook.apk »или« chrome.apk », который содержит Android-бэкдор-программа атакующего.
Вредоносная программа «Роуминг-Мантис» проверяет устройство на наличие корня и запрашивает разрешение на любые уведомления о транзакциях или просмотре активности, сделанные пользователем. Он также собирает множество данных, включая двухэтапные учетные данные. Исследователи обнаружили, что некоторые вредоносные коды упомянуты Общие коды мобильных банковских и игровых приложений в Корее объединены. Эти признаки указывают на то, что целью этой атаки может быть получение экономических выгод.
Дальнейший анализ также показал, что в среднем каждый день на серверы и серверы атакующего (С2) приходится тысячи подключений, что указывает на то, что масштаб атак должен быть больше.
Дизайн вредоносного ПО Roaming Mantis указывает на то, что он предназначен для широкого распространения в Азии. Кроме того, он поддерживает четыре языка, а именно корейский, упрощенный китайский, японский и английский. Однако собранные нами доказательства показывают, что эта атака находится за кулисами. Наиболее сложными угрозами являются корейский и упрощенный китайский.
Sauguru Ishimaru, японский исследователь безопасности в «Лаборатории Касперского», сказал: «Роуминг Мантис - активная и быстро меняющаяся угроза. Поэтому мы опубликовали соответствующие результаты сейчас, и мы не дождались, пока все ответы не будут найдены до выпуска. С большой мотивацией нам необходимо повысить осведомленность наших пользователей о профилактике, чтобы люди и компании могли лучше распознать эту угрозу. Эта атака использует зараженные маршрутизаторы и средства угона DNS, что указывает на прочную защиту устройства и защищенное соединение. Необходимость "
Эта проблема была обнаружена Лабораторией Касперского как «Trojan-Banker.AndroidOS.Wroba».
Чтобы защитить ваше интернет-соединение от заражения, «Лаборатория Касперского» рекомендует следующие меры:
● Обратитесь к инструкциям вашего маршрутизатора для использования, убедитесь, что настройки DNS не изменены или обратитесь за помощью к поставщику услуг Интернета (ISP).
● Измените имя и пароль по умолчанию для интерфейса управления маршрутизатором.
● Не устанавливайте прошивку маршрутизатора из стороннего источника. Не используйте сторонние источники программного обеспечения для вашего устройства Android.
● Регулярно обновляйте прошивку маршрутизатора с официального маршрутизатора.
Исследователи из «Лаборатории Касперского» обнаружили новый тип вредоносного ПО для Android, который распространяется по технологии захвата доменных имен (DNS). Главная атака - смартфоны в Азии. Эта атака называется «Роуминг Мантис». Он очень активен, цель атаки - красть пользовательскую информацию, включая учетные данные, чтобы злоумышленник мог полностью контролировать зараженные устройства Android. С февраля по апрель 2018 года исследователи обнаружили это в более чем 150 пользовательских сетях. Вредоносная программа, основные жертвы которой находятся в Южной Корее, Бангладеш и Японии, а жертвы могут быть больше. Исследователи полагают, что за нападением должна быть организация киберпреступности. Ее целью должно быть получение прибыли.
Виталий Камлук, региональный директор Азиатско-Тихоокеанского региона в «Глобальной исследовательской и аналитической группе« Лаборатории Касперского »(GReAT), сказал:« Японские СМИ недавно сообщили об этой атаке, но после проведения некоторых исследований мы обнаружили, что эта угроза исходит не из Япония. Фактически, мы обнаружили несколько подсказок, указывающих на то, что злоумышленник, стоящий за этой угрозой, говорит по-китайски или корейски. Не только это, большинство жертв не в Японии. Роуминг Мантис, похоже, в основном нацелен на корейских пользователей, японских жертв Кажется, это какой-то сопутствующий урон.
Выводы Лаборатории Касперского показывают, что злоумышленники, стоящие за этим вредоносным ПО, ищут уязвимых маршрутизаторов для атаки и распространения вредоносного ПО с помощью очень простого, но эффективного метода захвата DNS-параметров зараженного маршрутизатора. Метод маршрутизатора до сих пор неизвестен. Как только DNS будет успешно захвачен, доступ пользователя к любому веб-сайту укажет на кажущийся реалистичный URL-адрес, где контент подделан и исходит от сервера злоумышленника. Эти адреса потребуют от пользователя «приобретения», Для улучшения работы в браузере обновите до последней версии Chrome. «Нажав на ссылку, вы запустите приложение, в котором запущен троянский конь. Эти зараженные приложения обычно называются« facebook.apk »или« chrome.apk », который содержит Android-бэкдор-программа атакующего.
Вредоносная программа «Роуминг-Мантис» проверяет устройство на наличие корня и запрашивает разрешение на любые уведомления о транзакциях или просмотре активности, сделанные пользователем. Он также собирает множество данных, включая двухэтапные учетные данные. Исследователи обнаружили, что некоторые вредоносные коды упомянуты Общие коды мобильных банковских и игровых приложений в Корее объединены. Эти признаки указывают на то, что целью этой атаки может быть получение экономических выгод.
В тестовых данных Лаборатории Касперского было обнаружено около 150 целей, которые были атакованы. Дальнейший анализ также показал, что в среднем на серверах и серверах атакующего (С2) ежедневно приходится тысячи подключений, что указывает на то, что масштаб атак должен быть больше.
Дизайн вредоносного программного обеспечения Roaming Mantis указывает на то, что он предназначен для широкого распространения в Азии. Кроме того, он поддерживает четыре языка, а именно корейский, упрощенный китайский, японский и английский. Однако собранные нами данные показывают, что эта атака находится за кулисами. Наиболее сложными угрозами являются корейский и упрощенный китайский.
Sauguru Ishimaru, японский исследователь безопасности в «Лаборатории Касперского», сказал: «Роуминг Мантис - активная и быстро меняющаяся угроза. Поэтому мы опубликовали соответствующие результаты сейчас, и мы не дождались, пока все ответы не будут найдены до выпуска. С большой мотивацией нам необходимо повысить осведомленность наших пользователей о профилактике, чтобы люди и компании могли лучше распознать эту угрозу. Эта атака использует зараженные маршрутизаторы и средства угона DNS, что указывает на прочную защиту устройства и защищенное соединение. Необходимость "
Эта проблема была обнаружена Лабораторией Касперского как «Trojan-Banker.AndroidOS.Wroba».
Чтобы защитить ваше интернет-соединение от заражения, «Лаборатория Касперского» рекомендует следующие меры:
● Обратитесь к инструкциям вашего маршрутизатора для использования, убедитесь, что настройки DNS не изменены или обратитесь за помощью к поставщику услуг Интернета (ISP).
● Измените имя и пароль по умолчанию для интерфейса управления маршрутизатором.
● Не устанавливайте прошивку маршрутизатора из стороннего источника. Не используйте сторонние источники программного обеспечения для вашего устройства Android.
● Регулярно обновляйте прошивку маршрутизатора с официального маршрутизатора.
