Roaming Mantis：通过Wi-Fi路由器感染智能手机

前段时间，我们的专家调查了一款他们称为Roaming Mantis的恶意软件。当时，受影响的人主要来自日本，韩国，中国，印度和孟加拉国的用户，所以我们没有在其他地区讨论恶意软件，这似乎是一个针对威胁。

然而，自报告发布以来的一个月，Roaming Mantis又增加了二十多种语言，并迅速在世界各地传播。

恶意软件使用受感染的路由器感染基于Android的智能手机和平板电脑。然后，它将iOS设备重定向到钓鱼网站，并在台式机和笔记本电脑上运行CoinHive密码管理脚本。它是通过DNS劫持的方式实现的，这使得目标用户难以发现某些问题。

什么是DNS劫持

当您在浏览器地址栏中输入网站名称时，浏览器实际上并未向该网站发送请求。它不能; 互联网对IP地址进行操作，这是一组数字，而带有单词的域名更易于人们记住和输入。

当你输入一个URL时，你的浏览器发送一个请求到一个DNS服务器（DNS是域名系统），它将人性化的名字翻译成相应网站的IP地址。这是浏览器用来查找和打开网站的这个IP地址。

DNS劫持是一种欺骗浏览器的方式，让浏览器误认为它已经将域名与正确的IP地址相匹配。尽管IP地址不正确，但用户输入的原始URL会显示在浏览器地址栏中，因此没有任何可疑内容。

有很多DNS劫持技术，但Roaming Mantis创造者们选择了或许最简单和最有效的方法：他们劫持被破坏的路由器的设置，迫使他们使用他们自己的流氓DNS服务器。这意味着只要是连接到此路由器的设备无论在浏览器地址栏中输入任何内容，都会被重定向到恶意站点。

在Android上的Roaming Mantis

用户重定向到恶意网站后，系统会提示他们更新浏览器。这导致下载一个名为chrome.apk的恶意应用程序（还有另一个版本，名为facebook.apk）。

恶意软件会在安装过程中请求一系列权限，包括访问帐户信息的权限，发送和接收SMS消息，处理语音呼叫，录制音频，访问文件，在其它应用上显示自己的窗口等等。对于Google Chrome这样的可信应用程序，该列表并不可疑 - 如果用户认为此“浏览器更新”合法，则他们一定会授予权限，甚至不会在乎权限列表。

应用程序安装完成后，恶意软件使用权限访问帐户列表以找出设备上使用的Google帐户。接下来，用户会看到一条消息（它显示在所有其他打开的窗口的顶部，这是恶意软件请求的另一个权限），表示他们的帐户出现问题，并且他们需要重新登录。然后打开一个页面并提示用户输入他们的姓名和出生日期。

Roaming Mantis：世界巡回演唱会，iOS首发挖矿

一开始，Roaming Mantis可以用四种语言显示信息：英语，韩语，中文和日语。但是在其他地方，它的作者扩展另外二十种语言：

阿拉伯 亚美尼亚 保加利亚语 孟加拉 捷克 格鲁吉亚 德语 希伯来语 印地语 印度尼西亚 意大利 马来语 抛光 葡萄牙语 俄语 塞尔维亚 - 克罗地亚语 西班牙语 他加禄语 泰国 土耳其 乌克兰 越南

作者还改进了Roaming Mantis，以具备攻击iOS的设备。这是与Android攻击不同的场景。在iOS上，Roaming Mantis跳过下载应用程序; 相反，恶意站点会显示一个钓鱼页面，提示用户立即重新登录到App Store。为了增加可信度，地址栏显示可靠的URL security.apple.com：

Roaming Mantis不仅仅会盗用Apple ID，还会要求用户输入银行卡号码：

我们的专家发现该恶意程序还会感染pc。在这些设备上，漫游Mantis运行CoinHive挖掘脚本，该脚本挖掘加密货币并将其直接转储到犯罪分子的钱包中。受害者的cpu资源被大量占用，迫使系统卡顿并消耗大量电力。

如何防止感染该恶意程序

在设备上安装防护软件：不仅仅是电脑和笔记本电脑，还有智能手机和平板电脑。 定期更新设备上的所有已安装软件。 在Android设备上，禁用未知来源的应用程序安装。您可以在设置 - >安全 - >未知来源下找到该选项。 尽可能经常更新您的路由器固件（查看您的路由器的手册以了解如何）。请勿使用从未知网站下载的非官方固件。

*参考来源：Kaspersky，由Backspaces编译，转载请注明来自FreeBuf.COM