Впервые специалисты «Лаборатории Касперского» рассказали о малвари Roaming Mantis еще месяц назад, в середине апреля 2018 года. Изначально вредонос атаковал преимущественно пользователей из Японии, Кореи, Китая, Индии и Бангладеш, и исследователи сочли угрозу локальной, не затрагивающей остальной мир. Но за время, прошедшее с момента выхода отчета, ситуация изменилась. Теперь Roaming Mantis «говорит» еще на двух десятках языков (в том числе и на русском) и быстро распространяется по миру.

Теперь малварь использует взломанные роутеры, чтобы заражать смартфоны и планшеты, работающие под управлением Android, перенаправлять устройства набазе  iOS на фишинговый сайт, а также запускает майнинговые скрипты CoinHive на десктопах и ноутбуках. Для всего используется техника DNS hijacking — подмена DNS, поэтому атаку часто не удается заметить сразу.

Для подмены DNS авторы Roaming Mantis выбрали, пожалуй, наиболее простой и эффективный способ: они прописывают в настройках скомпрометированных роутеров собственные адреса DNS-серверов. После этого, что бы пользователь ни набрал в адресной строке браузера, его перенаправят на вредоносный сайт.

После того как жертва была перенаправлена на вредоносный сайт, ей показывают предупреждение о том, что якобы пора обновить браузер. Начинается загрузка вредоносного приложения с именем chrome.apk (также существует версия с именем facebook.apk).

В процессе установки Roaming Mantis запрашивает множество различных разрешений, в том числе на доступ к информации об аккаунтах, получение и отправку SMS-сообщений и обработку голосовых звонков, запись аудио, доступ к файлам, отображение своего окна поверх других и так далее. Для такого доверенного приложения, как Google Chrome, этот список выглядит не таким уж подозрительным — если уж пользователь поверил, что это легитимный браузер, то разрешения он наверняка выдаст, не особенно вчитываясь в запрос.

После установки приложения малварь использует право на доступ к списку аккаунтов, чтобы узнать, какая учетная запись используется на зараженном устройстве. Затем, поверх всех остальных окон, появляется сообщение, гласящее, что с аккаунтом пользователя что-то не в порядке и ему необходимо перелогиниться. Далее открывается страница, на которой пользователь должен ввести свое имя и дату рождения.

По всей видимости, впоследствии эти данные вместе с разрешениями на доступ к SMS-сообщениям, открывающим доступ к одноразовым кодам двухфакторной аутентификации, используются авторами Roaming Mantis для кражи аккаунтов Google.

Как уже было сказано выше, изначально малварь умела выводить сообщения лишь на четырех языках: английском, корейском, китайском и японском. Однако в какой-то момент создатели Roaming Mantis решили не ограничиваться этими странами и научили угрозу «говорить» еще на двух десятках языков:

  • арабском,
  • армянском,
  • бенгальском,
  • болгарском,
  • вьетнамском,
  • грузинском,
  • иврите,
  • индонезийском,
  • испанском,
  • итальянском,
  • малайском,
  • немецком,
  • польском,
  • португальском,
  • русском,
  • сербохорватском,
  • тагальском,
  • тайском,
  • турецком,
  • украинском,
  • хинди,
  • чешском.

Кроме того, теперь Roaming Mantis научился атаковать устройства, работающие под управлением iOS. В этом случае все происходит иначе, чем на Android. Вместо загрузки приложения вредоносный сайт сразу показывает жертве предупреждение о том, что следует заново залогиниться в App Store — и отображает соответствующую страницу. При этом в адресной строке виден вызывающий доверие адрес security.apple.com.

Исследователи отмечают, что в данном случае злоумышленники не стали ограничиваться кражей логина и пароля от Apple ID, и сразу после ввода данных требуют от пользователя ввести еще и номер банковской карты.

Третье нововведение, которое обнаружили эксперты, касается настольных компьютеров и ноутбуков. На них Roaming Mantis запускает майнинговый скрипт CoinHive. Процессор при этом загружается вплоть до 100%, от чего система, естественно, ужасно тормозит и тратится немалое количество электричества.

С обновленной версией отчета, рассказывающей об эволюции Roaming Mantis, можно ознакомиться здесь.

Фото: "Лаборатория Касперского"

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии