Мобильный вредонос Roaming Mantis быстро распространяется по миру и заражает смартфоны через роутеры - «Новости»

Впервые специалисты «Лаборатории Касперского» рассказали о малвари Roaming Mantis еще месяц назад, в середине апреля 2018 года. Изначально вредонос атаковал преимущественно пользователей из Японии, Кореи, Китая, Индии и Бангладеш, и исследователи сочти угрозу локальной, не затрагивающей остальной мир. Но за время, прошедшее с момента выхода отчета, ситуация изменилась. Теперь Roaming Mantis «говорит» еще на двух десятках языков (в том числе и на русском) и быстро распространяется по миру.

Теперь малварь использует взломанные роутеры, чтобы заражать смартфоны и планшеты, работающие под управлением Android, перенаправлять устройства набазе  iOS на фишинговый сайт, а также запускает майнинговые скрипты CoinHive на десктопах и ноутбуках. Для всего используется техника DNS hijacking — подмена DNS, поэтому атаку часто не удается заметить сразу.

Для подмены DNS авторы Roaming Mantis выбрали, пожалуй, наиболее простой и эффективный способ: они прописывают в настройках скомпрометированных роутеров собственные адреса DNS-серверов. После этого, что бы пользователь ни набрал в адресной строке браузера, его перенаправят на вредоносный сайт.

После того как жертва была перенаправлена на вредоносный сайт, ей показывают предупреждение о том, что якобы пора обновить браузер. Начинается загрузка вредоносного приложения с именем chrome.apk (также существует версия с именем facebook.apk).

В процессе установки Roaming Mantis запрашивает множество различных разрешений, в том числе на доступ к информации об аккаунтах, получение и отправку SMS-сообщений и обработку голосовых звонков, запись аудио, доступ к файлам, отображение своего окна поверх других и так далее. Для такого доверенного приложения, как Google Chrome, этот список выглядит не таким уж подозрительным — если уж пользователь поверил, что это легитимный браузер, то разрешения он наверняка выдаст, не особенно вчитываясь в запрос.

После установки приложения малварь использует право на доступ к списку аккаунтов, чтобы узнать, какая учетная запись используется на зараженном устройстве. Затем, поверх всех остальных окон, появляется сообщение, гласящее, что с аккаунтом пользователя что-то не в порядке и ему необходимо перелогиниться. Далее открывается страница, на которой пользователь должен ввести свое имя и дату рождения.

По всей видимости, впоследствии эти данные вместе с разрешениями на доступ к SMS-сообщениям, открывающим доступ к одноразовым кодам двухфакторной аутентификации, используются авторами Roaming Mantis для кражи аккаунтов Google.

Как уже было сказано выше, изначально малварь умела выводить сообщения лишь на четырех языках: английском, корейском, китайском и японском. Однако в какой-то момент создатели Roaming Mantis решили не ограничиваться этими странами и научили угрозу «говорить» еще на двух десятках языков:

• арабском,


• армянском,


• бенгальском,


• болгарском,


• вьетнамском,


• грузинском,


• иврите,


• индонезийском,


• испанском,


• итальянском,


• малайском,


• немецком,


• польском,


• португальском,


• русском,


• сербохорватском,


• тагальском,


• тайском,


• турецком,


• украинском,


• хинди,


• чешском.

Кроме того, теперь Roaming Mantis научился атаковать устройства, работающие под управлением iOS. В этом случае все происходит иначе, чем на Android. Вместо загрузки приложения вредоносный сайт сразу показывает жертве предупреждение о том, что следует заново залогиниться в App Store — и отображает соответствующую страницу. При этом в адресной строке виден вызывающий доверие адрес security.apple.com.

Исследователи отмечают, что в данном случае злоумышленники не стали ограничиваться кражей логина и пароля от Apple ID, и сразу после ввода данных требуют от пользователя ввести еще и номер банковской карты.

Третье нововведение, которое обнаружили эксперты, касается настольных компьютеров и ноутбуков. На них Roaming Mantis запускает майнинговый скрипт CoinHive. Процессор при этом загружается вплоть до 100%, от чего система, естественно, ужасно тормозит и тратится немалое количество электричества.

С обновленной версией отчета, рассказывающей об эволюции Roaming Mantis, можно ознакомиться здесь.

Фото: «Лаборатория Касперского»