Roaming Mantis:通过Wi-Fi路由器感染智能手机

前段时间,我们的专家调查了一款他们称为Roaming Mantis的恶意软件。当时,受影响的人主要来自日本,韩国,中国,印度和孟加拉国的用户,所以我们没有在其他地区讨论恶意软件,这似乎是一个针对威胁。

然而,自报告发布以来的一个月,Roaming Mantis又增加了二十多种语言,并迅速在世界各地传播。

恶意软件使用受感染的路由器感染基于Android的智能手机和平板电脑。然后,它将iOS设备重定向到钓鱼网站,并在台式机和笔记本电脑上运行CoinHive密码管理脚本。它是通过DNS劫持的方式实现的,这使得目标用户难以发现某些问题。

什么是DNS劫持

当您在浏览器地址栏中输入网站名称时,浏览器实际上并未向该网站发送请求。它不能; 互联网对IP地址进行操作,这是一组数字,而带有单词的域名更易于人们记住和输入。

当你输入一个URL时,你的浏览器发送一个请求到一个DNS服务器(DNS是域名系统),它将人性化的名字翻译成相应网站的IP地址。这是浏览器用来查找和打开网站的这个IP地址。

DNS劫持是一种欺骗浏览器的方式,让浏览器误认为它已经将域名与正确的IP地址相匹配。尽管IP地址不正确,但用户输入的原始URL会显示在浏览器地址栏中,因此没有任何可疑内容。

有很多DNS劫持技术,但Roaming Mantis创造者们选择了或许最简单和最有效的方法:他们劫持被破坏的路由器的设置,迫使他们使用他们自己的流氓DNS服务器。这意味着只要是连接到此路由器的设备无论在浏览器地址栏中输入任何内容,都会被重定向到恶意站点。

在Android上的Roaming Mantis

用户重定向到恶意网站后,系统会提示他们更新浏览器。这导致下载一个名为chrome.apk的恶意应用程序(还有另一个版本,名为facebook.apk)。

恶意软件会在安装过程中请求一系列权限,包括访问帐户信息的权限,发送和接收SMS消息,处理语音呼叫,录制音频,访问文件,在其它应用上显示自己的窗口等等。对于Google Chrome这样的可信应用程序,该列表并不可疑 - 如果用户认为此“浏览器更新”合法,则他们一定会授予权限,甚至不会在乎权限列表。

应用程序安装完成后,恶意软件使用权限访问帐户列表以找出设备上使用的Google帐户。接下来,用户会看到一条消息(它显示在所有其他打开的窗口的顶部,这是恶意软件请求的另一个权限),表示他们的帐户出现问题,并且他们需要重新登录。然后打开一个页面并提示用户输入他们的姓名和出生日期。

Roaming Mantis:世界巡回演唱会,iOS首发挖矿

一开始,Roaming Mantis可以用四种语言显示信息:英语,韩语,中文和日语。但是在其他地方,它的作者扩展另外二十种语言:

阿拉伯 亚美尼亚 保加利亚语 孟加拉 捷克 格鲁吉亚 德语 希伯来语 印地语 印度尼西亚 意大利 马来语 抛光 葡萄牙语 俄语 塞尔维亚 - 克罗地亚语 西班牙语 他加禄语 泰国 土耳其 乌克兰 越南

作者还改进了Roaming Mantis,以具备攻击iOS的设备。这是与Android攻击不同的场景。在iOS上,Roaming Mantis跳过下载应用程序; 相反,恶意站点会显示一个钓鱼页面,提示用户立即重新登录到App Store。为了增加可信度,地址栏显示可靠的URL security.apple.com

Roaming Mantis不仅仅会盗用Apple ID,还会要求用户输入银行卡号码:

我们的专家发现该恶意程序还会感染pc。在这些设备上,漫游Mantis运行CoinHive挖掘脚本,该脚本挖掘加密货币并将其直接转储到犯罪分子的钱包中。受害者的cpu资源被大量占用,迫使系统卡顿并消耗大量电力。

如何防止感染该恶意程序

在设备上安装防护软件:不仅仅是电脑和笔记本电脑,还有智能手机和平板电脑。 定期更新设备上的所有已安装软件。 在Android设备上,禁用未知来源的应用程序安装。您可以在设置 - >安全 - >未知来源下找到该选项。 尽可能经常更新您的路由器固件(查看您的路由器的手册以了解如何)。请勿使用从未知网站下载的非官方固件。

*参考来源:Kaspersky,由Backspaces编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python中文社区

基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员发现了一个新的 Linux 加密僵尸网络,并将其命名为"PyCryptoMiner",它主要的攻击目标是具有公开 SSH...

34250
来自专栏FreeBuf

深度剖析幽灵电子书 | 一双窥视安全人员的无形之眼

0x01 事件经过 2016年2月26日,一个网络安全相关的QQ群内,一名用户分享了一份名为“网络安全宝典.chm”的电子书供大家下载,瑞星网络安全工程师Bfi...

20570
来自专栏FreeBuf

如何用树莓派和显示器制作一面“魔镜”

这篇文章介绍的是用树莓派、显示器、双面镜制作的一面镜子。这面镜子中包含了一个黑色背景的网页,可以显示天气预报、日期、时间以及一句随机生成的问候语。完成这个DIY...

32690
来自专栏FreeBuf

揭秘:安卓木马是如何盗取用户手机银行的

手机银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是,随着手机银行涉及的金钱数额越来越大,攻击者...

53790
来自专栏企鹅号快讯

基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员 发现 了一个新的 Linux 加密僵尸网络,并将其命名为”PyCryptoMiner”,它主要的攻击目标是具有公开 SS...

232100
来自专栏FreeBuf

CODESYS WebVisu产品出现严重漏洞,影响100多款ICS系统

根据外媒 Securitweek 报道,Istury IOT 的朱文哲(音)发现 3S-Smart Software Solutions 的 CODESYS W...

26250
来自专栏BestSDK

0元买!买!买!支付平台再曝漏洞,JAVA SDK存在XXE攻击|附解决方法

国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务...

13830
来自专栏黑白安全

DNS 劫持恶意软件 Roaming Mantis 升级,针对全球 iOS、Android 和桌面用户

据外媒报道, 卡巴斯基实验室发现针对 Android 设备的路由器 的 DNS 劫持恶意软件 Roaming Mantis 现在已升级到了针对 iOS 设备以及...

13450
来自专栏云鼎实验室的专栏

WannaCry 勒索病毒数据恢复指引

受 WannaCry 勒索病毒影响,许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件。我们在13号媒体采访时提到,可使用数据恢复软件通...

5.3K10
来自专栏FreeBuf

银行木马Trickbot新模块:密码抓取器分析

Trickbot曾经是一个简单的银行木马,已经走过了漫长的道路。随着时间的推移,我们已经看到网络犯罪分子如何继续为此恶意软件添加更多功能。

16430

扫码关注云+社区

领取腾讯云代金券