卡巴斯基實驗室的研究人員發現一種最新的通過網域名稱系統(DNS)劫持技術傳播的安卓惡意軟體, 其主要攻擊目標為亞洲地區的智慧手機。 這種攻擊行動被稱為Roaming Mantis, 目前仍然非常活躍, 其攻擊目的是竊取包括憑證在內的使用者資訊, 從而讓攻擊者可以完全控制被感染的安卓設備。 2018年2月至4月期間, 研究人員在超過150個使用者網路中檢測到這種惡意軟體, 主要受害者位於韓國、孟加拉和日本, 而且受害者可能更多。 研究人員認為這次攻擊行動的幕後應該有一個網路犯罪組織, 其目的應該是為了獲利。
卡巴斯基實驗室全球研究和分析團隊(GReAT)亞太區總監Vitaly Kamluk表示:“日本的一家媒體最近報導了這次攻擊事件, 但是在我們稍微進行了一些研究後發現, 這種威脅並非起源自日本。 事實上, 我們發現了多個線索, 表明這種威脅幕後的攻擊者說的是中文或韓語。 不僅如此, 大多數受害者也不在日本。 Roaming Mantis似乎主要針對韓國的用戶, 日本受害者似乎是某種附帶危害。
卡巴斯基實驗室的發現表明這種惡意軟體背後的攻擊者尋找易受攻擊的路由器進行攻擊, 通過一種非常簡單卻有效的劫持受感染路由器DNS設置的手段傳播這種惡意軟體。 攻擊者入侵路由器的方法仍然未知。 一旦DNS被成功劫持, 用戶訪問任何網站的行為都會指向一個看上去真實的URL位址,
Roaming Mantis惡意軟體會檢查設備是否被root, 並請求獲得有關用戶進行的任何通信或流覽活動通知的許可權。 它還能收集多種資料, 包括兩步驗證憑證。 研究人員發現一些惡意軟體代碼提到了韓國常見的手機銀行和遊戲應用程式ID。 綜合起來, 這些跡象表明這次攻擊行動的目的可能是為了獲得經濟利益。
卡巴斯基實驗室的檢測資料發現了約150個被攻擊目標, 進一步分析還發現平均每天有數千個對攻擊者命令和控制(C2)伺服器的連接,
Roaming Mantis惡意軟體的設計表明其是為了在亞洲地區進行廣泛的傳播。 此外, 它支援四種語言, 分別為韓語、簡體中文、日語和英語。 但是, 我們收集到的證據顯示這起攻擊幕後的威脅者最精通的是韓語和簡體中文。
卡巴斯基實驗室日本安全研究員Suguru Ishimaru說:“Roaming Mantis是一個活躍並且迅速變化的威脅。 所以我們現在就發表了相關發現, 而沒有等到找到所有答案後再發佈。 這次的攻擊似乎有相當大的動機, 我們需要提高使用者的防範意識, 讓人們和企業能夠更好地識別這種威脅。 這次攻擊使用了受感染的路由器以及劫持DNS的手段, 表明採用強大的設備保護和安全連接的必要性”
卡巴斯基實驗室產品將這種威脅檢測為“Trojan-Banker.AndroidOS.Wroba”。
為了保護您的互聯網連接不受感染, 卡巴斯基實驗室建議採取以下措施:
●請參閱您的路由器的使用說明, 確保您的DNS設置沒有被更改, 或者聯繫您的互聯網服務提供者(ISP)尋求支持。
●更改路由器管理介面的預設登錄名和密碼。
●不要從協力廠商來源安裝路由器固件。 不要為您的安卓設備使用協力廠商軟體來源。
●定期從路由器的官方升級您的路由器固件。