Впервые специалисты «Лаборатории Касперского» рассказали о малвари Roaming Mantis еще месяц назад, в середине апреля 2018 года. Изначально вредонос атаковал преимущественно пользователей из Японии, Кореи, Китая, Индии и Бангладеш, и исследователи сочли угрозу локальной, не затрагивающей остальной мир. Но за время, прошедшее с момента выхода отчета, ситуация изменилась. Теперь Roaming Mantis «говорит» еще на двух десятках языков (в том числе и на русском) и быстро распространяется по миру.
Теперь малварь использует взломанные роутеры, чтобы заражать смартфоны и планшеты, работающие под управлением Android, перенаправлять устройства набазе iOS на фишинговый сайт, а также запускает майнинговые скрипты CoinHive на десктопах и ноутбуках. Для всего используется техника DNS hijacking — подмена DNS, поэтому атаку часто не удается заметить сразу.
Для подмены DNS авторы Roaming Mantis выбрали, пожалуй, наиболее простой и эффективный способ: они прописывают в настройках скомпрометированных роутеров собственные адреса DNS-серверов. После этого, что бы пользователь ни набрал в адресной строке браузера, его перенаправят на вредоносный сайт.
После того как жертва была перенаправлена на вредоносный сайт, ей показывают предупреждение о том, что якобы пора обновить браузер. Начинается загрузка вредоносного приложения с именем chrome.apk (также существует версия с именем facebook.apk).
В процессе установки Roaming Mantis запрашивает множество различных разрешений, в том числе на доступ к информации об аккаунтах, получение и отправку SMS-сообщений и обработку голосовых звонков, запись аудио, доступ к файлам, отображение своего окна поверх других и так далее. Для такого доверенного приложения, как Google Chrome, этот список выглядит не таким уж подозрительным — если уж пользователь поверил, что это легитимный браузер, то разрешения он наверняка выдаст, не особенно вчитываясь в запрос.
После установки приложения малварь использует право на доступ к списку аккаунтов, чтобы узнать, какая учетная запись используется на зараженном устройстве. Затем, поверх всех остальных окон, появляется сообщение, гласящее, что с аккаунтом пользователя что-то не в порядке и ему необходимо перелогиниться. Далее открывается страница, на которой пользователь должен ввести свое имя и дату рождения.
По всей видимости, впоследствии эти данные вместе с разрешениями на доступ к SMS-сообщениям, открывающим доступ к одноразовым кодам двухфакторной аутентификации, используются авторами Roaming Mantis для кражи аккаунтов Google.
Как уже было сказано выше, изначально малварь умела выводить сообщения лишь на четырех языках: английском, корейском, китайском и японском. Однако в какой-то момент создатели Roaming Mantis решили не ограничиваться этими странами и научили угрозу «говорить» еще на двух десятках языков:
- арабском,
- армянском,
- бенгальском,
- болгарском,
- вьетнамском,
- грузинском,
- иврите,
- индонезийском,
- испанском,
- итальянском,
- малайском,
- немецком,
- польском,
- португальском,
- русском,
- сербохорватском,
- тагальском,
- тайском,
- турецком,
- украинском,
- хинди,
- чешском.
Кроме того, теперь Roaming Mantis научился атаковать устройства, работающие под управлением iOS. В этом случае все происходит иначе, чем на Android. Вместо загрузки приложения вредоносный сайт сразу показывает жертве предупреждение о том, что следует заново залогиниться в App Store — и отображает соответствующую страницу. При этом в адресной строке виден вызывающий доверие адрес security.apple.com.
Исследователи отмечают, что в данном случае злоумышленники не стали ограничиваться кражей логина и пароля от Apple ID, и сразу после ввода данных требуют от пользователя ввести еще и номер банковской карты.
Третье нововведение, которое обнаружили эксперты, касается настольных компьютеров и ноутбуков. На них Roaming Mantis запускает майнинговый скрипт CoinHive. Процессор при этом загружается вплоть до 100%, от чего система, естественно, ужасно тормозит и тратится немалое количество электричества.
С обновленной версией отчета, рассказывающей об эволюции Roaming Mantis, можно ознакомиться здесь.
Фото: "Лаборатория Касперского"
