Эксперты «Лаборатории Касперского» обнаружили новую вредоносную активность мобильного банкера Roaming Mantis. Первоначально он использовал метод подмены DNS и в основном заражал устройства на базе Android, но теперь троян атакует и устройства, работающие под управлением iOS.
Напомню, что Roaming Mantis был обнаружен весной 2018 года. Изначально он атаковал пользователей из Японии, Кореи, Китая, Индии и Бангладеш, но затем «заговорил» еще на двух десятках языков (в том числе и на русском) и начал быстро распространяться по миру.
Малварь использовала взломанные роутеры, чтобы заражать смартфоны и планшеты, работающие под управлением Android, перенаправляла устройства на базе iOS на фишинговый сайт, а также запускала майнинговые скрипты CoinHive на десктопах и ноутбуках. Для всего этого использолвалась техника DNS hijacking — подмена DNS, из-за чего атаки зачастую удавалось обнаружить не сразу.
Для подмены DNS авторы Roaming Mantis выбрали, пожалуй, наиболее простой и эффективный способ: они прописывают в настройках скомпрометированных роутеров собственные адреса DNS-серверов. После этого, что бы пользователь ни набрал в адресной строке браузера, его перенаправят на вредоносный сайт.
Теперь специалисты «Лаборатории Касперского» сообщают, что Roaming Mantis начал похищать учетные данные пользователей iOS при помощи фишинга. Когда жертвы обращаются к какой-либо веб-странице с iOS-устройства, их перенаправляют на поддельный сайт, где злоумышленники крадут идентификатор пользователя, пароль, номер банковской карты, ее срок действия и код CVV. Также вредонос начал атаковать гаджеты на базе iOS с целью «браузерного» майнинга. Его основным инструментом для этого по-прежнему остается сервис CoinHive, посредством которого прежде малварью заражались ПК.
По наблюдениям исследователей, основной мотив злоумышленников в настоящее время – быстрое получение прибыли. Например, при распространении трояна они поочередно используют фишинговый сайт и страницу веб-майнинга, в зависимости от того, какой способ принесет больше денег в каждом конкретном случае.
Помимо всего прочего, Roaming Mantis и расширил свои методы атак и уклонения от обнаружения. Изначально после подмены DNS жертвы перенаправлялись на IP-адреса мошенников, с которых устройства устанавливались вредоносные приложения facebook.apk или chrome.apk. Но теперь преступники заменили facebook.apk на sagawa.apk, а для его распространения стали применять арендованную службу спуфинга, основанного на подмене номеров отправителя SMS-сообщений.
«В нашем первом отчете мы предупреждали, что Roaming Mantis явно предназначен для атак на возрастающее число пользователей. Верный своему названию, он стремительно распространяется с апреля, меняет методы в зависимости от местоположения. Зловред заражает устройства на базе Android, занимается фишингом и даже пытается использовать iOS-гаджеты для криптомайнинга. Кроме четырех азиатских языков, Roaming Mantis теперь использует 27, распространенных в Европе и на Ближнем Востоке», – говорит Сугуру Ишимару, антивирусный эксперт «Лаборатории Касперского».