Cybergang atakuje smartfony z Androidem
Z badań Kaspersky Lab wynika, że atakujący stojący za omawianymi atakami szukają routerów podatnych na ataki i dystrybuują szkodliwe oprogramowanie z użyciem prostego triku polegającego na przechwyceniu ustawień DNS w tych urządzeniach sieciowych. Sama metoda wykorzystywana do atakowania routerów pozostaje nieznana. Gdy ustawienia DNS zostaną zmodyfikowane, użytkownik, który chce otworzyć dowolną stronę WWW, widzi na ekranie witrynę o prawidłowym adresie, jednak treść jest podstawiana z serwera kontrolowanego przez cyberprzestępców. Zawiera ona komunikat informujący użytkownika, że w celu zwiększenia komfortu przeglądana internetu należy zainstalować nową wersję przeglądarki. Kliknięcie wyświetlanego odnośnika inicjuje instalację konia trojańskiego, który umożliwia atakującym przejęcie kontroli nad zainfekowanym urządzeniem z Androidem.
Szkodliwe oprogramowanie Roaming Mantis sprawdza, czy zainfekowane urządzenie zostało zrootowane (proces dający dostęp do uprawnień administratora w systemie Android) i przechwytuje informacje o wszelkiej aktywności użytkownika związanej z przeglądaniem zasobów internetu. Szkodnik potrafi gromadzić szereg informacji, łącznie z danymi uwierzytelniającymi. Badacze odkryli, że fragmenty kodu szkodliwego programu odnoszą się do popularnych w Korei Południowej aplikacji bankowych i gier.
Wstępna analiza Kaspersky Lab wykazała około 150 ofiar, jednak dalsze badanie ujawniło, że każdego dnia kilka tysięcy zainfekowanych urządzań próbowało łączyć się z serwerami cyberprzestępców, co wskazuje na większą skalę ataku.
Projekt szkodliwego oprogramowania Roaming Mantis może wskazywać, że zostało ono przygotowane z myślą o szerokiej dystrybucji w Azji. Szkodnik obsługuje cztery języki: koreański, chiński uproszczony, japoński oraz angielski. Ślady pozostawione w kodzie przez cyberprzestępców sugerują, że autorzy posługują się głównie językiem koreańskim i chińskim uproszczonym.
Roaming Mantis to aktywne i szybko zmieniające się zagrożenie. Dlatego zdecydowaliśmy się opublikować nasze odkrycia już teraz, nie czekając na zakończenie szczegółowej analizy. Cyberprzestępcy wydają się być mocno zmotywowani, zatem użytkownicy i firmy powinny mieć świadomość zagrożenia. Wykorzystanie przez atakujących zainfekowanych routerów i techniki przechwytywania ustawień DNS to jasny sygnał, że należy przykładać dużą wagę do ochrony sprzętu sieciowego oraz należytego zabezpieczania sieci - powiedział Suguru Ishimaru, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
Aby zabezpieczyć swoje połączenie internetowe przed infekcjami podobnymi do Roaming Mantis, należy wykonać następujące działania:
● Zmień domyślny login i hasło do panelu administracyjnego swojego routera.
● Upewnij się, że ustawienia DNS w routerze nie zostały zmodyfikowane. Jeżeli nie wiesz, jakie są prawidłowe ustawienia DNS, skontaktuj się ze swoim dostawcą internetu.
● Unikaj instalowania w routerze oprogramowania układowego (firmware) pochodzącego od nieautoryzowanych dostawców.
● Nie instaluj na urządzeniach z Androidem aplikacji spoza oficjalnych źródeł.
● Regularnie uaktualniaj oprogramowanie układowe swojego routera z oficjalnego źródła.