Minęły cztery tygodnie, a zagrożenie to nadal szybko ewoluuje, rozszerzając zasięg geograficzny swoich celów o Europę (łącznie z Polską) i Bliski Wschód, stosując ataki phishingowe wymierzone w urządzenia z systemem iOS oraz zaprzęgając komputery PC do kopania kryptowaluty. Celem tej kampanii, znanej pod nazwą Roaming Mantis, jest głównie kradzież informacji użytkowników, łącznie z danymi uwierzytelniającymi, oraz zapewnienie atakującym pełnej kontroli nad zainfekowanymi urządzeniami. Według badaczy za całą operacją stoi koreańsko- lub chińskojęzyczne ugrupowanie cyberprzestępcze motywowane chęcią osiągnięcia zysku finansowego.
Metoda ataku
Z ustaleń Kaspersky Lab wynika, że osoby odpowiedzialne za Roaming Mantis wyszukują podatne na ataki routery i rozprzestrzeniają szkodliwe oprogramowanie za pośrednictwem prostej, ale bardzo skutecznej sztuczki polegającej na przechwytywaniu ustawień DNS na tych urządzeniach sieciowych. Metoda infekowania routerów pozostaje nieznana. Gdy ustawienia DNS zostaną zmodyfikowane, użytkownik, który chce otworzyć dowolną stronę WWW, widzi na ekranie witrynę o prawidłowym adresie, jednak treść jest podstawiana z serwera kontrolowanego przez cyberprzestępców. Obejmuje ona zalecenie uaktualnienia przeglądarki do najnowszej wersji aplikacji Chrome („To better experience the browsing, update to the latest chrome version”). Kliknięcie odsyłacza inicjuje instalację zawierającej trojana aplikacji o nazwie facebook.apk lub chrome.apk, która umożliwia atakującym przejęcie kontroli nad zainfekowanym urządzeniem z Androidem.
Szkodliwe oprogramowanie sprawdza, czy zainfekowane urządzenie zostało zrootowane (proces dający dostęp do uprawnień administratora w systemie Android) i przechwytuje informacje o wszelkiej aktywności użytkownika związanej z przeglądaniem zasobów internetu. Szkodnik potrafi gromadzić szereg informacji, łącznie z danymi uwierzytelniającymi. Badacze odkryli, że fragmenty kodu szkodliwego programu odnoszą się do popularnych w Korei Południowej aplikacji bankowych i gier.
Rozszerzony zasięg geograficzny celów oraz funkcjonalności
W pierwotnym badaniu Kaspersky Lab zidentyfikowano około 150 celów, główne w Korei Południowej, Bangladeszu oraz Japonii, jednak tysiące połączeń nawiązywanych każdego dnia z serwerami kontrolowanymi przez cyberprzestępców wskazują na znacznie większą skalę ataku. Szkodnik obejmował obsługę czterech języków: koreańskiego, uproszczonego chińskiego, japońskiego oraz angielskiego.
Obecnie zasięg ataków został rozszerzony i obsługiwanych jest łącznie 27 języków, w tym polski, niemiecki, włoski, czeski, hiszpański, arabski, bułgarski oraz rosyjski. Atakujący wprowadzili również przekierowanie do stron phishingowych o tematyce związanej z firmą Apple, jeżeli szkodliwe oprogramowanie trafi na urządzenie z systemem iOS. Najnowszym nabytkiem w arsenale cybergangu jest strona phishingowa wykorzystywana do angażowania mocy obliczeniowej komputerów PC do kopania kryptowaluty. Z obserwacji Kaspersky Lab wynika, że miała miejsce co najmniej jedna fala ataków na szerszą skalę, a badacze w ciągu kilku dni zarejestrowali ponad 100 celów wśród klientów Kaspersky Lab.
Kiedy w kwietniu po raz pierwszy informowaliśmy o Roaming Mantis, określiliśmy tę operację jako aktywne i szybko zmieniające się zagrożenie. Nowe dowody wskazują na znaczącą ekspansję zasięgu geograficznego celów, który obejmuje Europę i Bliski Wschód, ale nie tylko. Uważamy, że atakujący to przestępcy dążący do osiągnięcia zysku finansowego, a z wielu znalezionych poszlak wynika, że posługują się językiem chińskim lub koreańskim. Zagrożenie to prawdopodobnie nie osłabnie w najbliższym czasie, ponieważ napędza je ogromna motywacja. Wykorzystanie przez cyberprzestępców zainfekowanych routerów podkreśla potrzebę niezawodnej ochrony urządzeń oraz stosowania bezpiecznych połączeń – powiedział Suguru Ishimaru, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
Produkty Kaspersky Lab wykrywają zagrożenie Roaming Mantis jako Trojan-Banker.AndroidOS.Wroba.
Aby zabezpieczyć swoje połączenie internetowe przed infekcjami podobnymi do Roaming Mantis, należy wykonać następujące działania:
- Sprawdź, czy ustawienia DNS w Twoim routerze nie zostały zmodyfikowane, lub skontaktuj się z dostawcą usług internetowych w celu uzyskania pomocy w tej kwestii.
- Zmień domyślny login i hasło dla interfejsu WWW administratora routera i regularnie aktualizuj oprogramowanie układowe (firmware) swojego urządzenia sieciowego, korzystając z oficjalnego źródła.
- Nigdy nie instaluj oprogramowania układowego routera ze źródeł osób trzecich. Podobnie, nie korzystaj z nieoficjalnych źródeł z aplikacjami dla systemu Android.
- Zawsze sprawdzaj adresy stron internetowych, aby upewnić się, czy są tymi, za jakie się podają; jeżeli musisz wprowadzić swoje dane, zwracaj uwagę na elementy sugerujące, że dana strona jest bezpieczna, takie jak ciąg https na początku adresu strony.
- Rozważ zainstalowanie rozwiązania bezpieczeństwa mobilnego, takiego jak np. Kaspersky Internet Security for Android, w celu zabezpieczenia urządzeń przed cyberzagrożeniami.
Szczegóły techniczne dotyczące kampanii cyberprzestępczej Roaming Mantis są dostępne na stronie https://r.kaspersky.pl/bxqTz.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.