卡巴斯基實驗室的研究人員發現一種最新的通過域名系統(DNS)劫持技術傳播的安卓惡意軟體,其主要攻擊目標為亞洲地區的智慧型手機。這種攻擊行動被稱為Roaming Mantis,目前仍然非常活躍,其攻擊目的是竊取包括憑證在內的用戶信息,從而讓攻擊者可以完全控制被感染的安卓設備。2018年2月至4月期間,研究人員在超過150個用戶網絡中檢測到這種惡意軟體,主要受害者位於韓國、孟加拉國和日本,而且受害者可能更多。研究人員認為這次攻擊行動的幕後應該有一個網絡犯罪組織,其目的應該是為了獲利。
卡巴斯基實驗室全球研究和分析團隊(GReAT)亞太區總監Vitaly Kamluk表示:「日本的一家媒體最近報導了這次攻擊事件,但是在我們稍微進行了一些研究後發現,這種威脅並非起源自日本。事實上,我們發現了多個線索,表明這種威脅幕後的攻擊者說的是中文或韓語。不僅如此,大多數受害者也不在日本。Roaming Mantis似乎主要針對韓國的用戶,日本受害者似乎是某種附帶危害。
卡巴斯基實驗室的發現表明這種惡意軟體背後的攻擊者尋找易受攻擊的路由器進行攻擊,通過一種非常簡單卻有效的劫持受感染路由器DNS設置的手段傳播這種惡意軟體。攻擊者入侵路由器的方法仍然未知。一旦DNS被成功劫持,用戶訪問任何網站的行為都會指向一個看上去真實的URL地址,其中的內容是偽造的,並且來自攻擊者的伺服器。這些地址會要求用戶「為了獲得更好的瀏覽體驗,請升級到最新版Chrome。」點擊連結會啟動被植入木馬的應用被安裝,這些被感染的應用通常被命名為「facebook.apk」或「chrome.apk」,其中包含攻擊者的安卓後門程序。
Roaming Mantis惡意軟體會檢查設備是否被root,並請求獲得有關用戶進行的任何通信或瀏覽活動通知的權限。它還能收集多種數據,包括兩步驗證憑證。研究人員發現一些惡意軟體代碼提到了韓國常見的手機銀行和遊戲應用程式ID。綜合起來,這些跡象表明這次攻擊行動的目的可能是為了獲得經濟利益。
卡巴斯基實驗室的檢測數據發現了約150個被攻擊目標,進一步分析還發現平均每天有數千個對攻擊者命令和控制(C2)伺服器的連接,表明攻擊的規模應該更大。
Roaming Mantis惡意軟體的設計表明其是為了在亞洲地區進行廣泛的傳播。此外,它支持四種語言,分別為韓語、簡體中文、日語和英語。但是,我們收集到的證據顯示這起攻擊幕後的威脅者最精通的是韓語和簡體中文。
卡巴斯基實驗室日本安全研究員Suguru Ishimaru說:「Roaming Mantis是一個活躍並且迅速變化的威脅。所以我們現在就發表了相關發現,而沒有等到找到所有答案後再發布。這次的攻擊似乎有相當大的動機,我們需要提高用戶的防範意識,讓人們和企業能夠更好地識別這種威脅。這次攻擊使用了受感染的路由器以及劫持DNS的手段,表明採用強大的設備保護和安全連接的必要性」
卡巴斯基實驗室產品將這種威脅檢測為「Trojan-Banker.AndroidOS.Wroba」。
為了保護您的網際網路連接不受感染,卡巴斯基實驗室建議採取以下措施:
●請參閱您的路由器的使用說明,確保您的DNS設置沒有被更改,或者聯繫您的網際網路服務提供商(ISP)尋求支持。
●更改路由器管理界面的默認登錄名和密碼。
●不要從第三方來源安裝路由器固件。不要為您的安卓設備使用第三方軟體來源。
●定期從路由器的官方升級您的路由器固件。