Sprawdź ustawienia routera. Roaming Mantis uderza w Polskę
2018-05-24 12:16
Cyberzagrożenia mobilne © Maciej - Fotolia.com
W kwietniu specjaliści Kaspersky Lab poinformowali o wykryciu nowego zagrożenia wycelowanego w system Android. Szkodnik rozprzestrzeniał się poprzez przechwytywanie ustawień DNS w routerach i dał się we znaki przede wszystkim użytkownikom urządzeń mobilnych z Azji. Dziś już wiadomo, że podstawy do obaw może mieć już znacznie szersza grupa internautów. Okazuje się, że zagrożenie znacznie powiększyło swój zasięg geograficzny, uderzając w Europę (również w Polskę) i Bliski Wschód.
Przeczytaj także: Luka dnia zerowego w przeglądarce Internet Explorer
Do czego dążą tym razem cyberprzestępcy? Okazuje się, że celem tej kampanii, nazwanej Roaming Mantis, jest kradzież wrażliwych informacji użytkowników, w tym danych uwierzytelniających, a następnie przejęcie pełnej kontroli nad zaatakowanymi urządzeniami. Eksperci sądzą, że za atakiem kryje się koreańsko- lub chińskojęzyczny cybergang, któremu przyświeca chęć zysku.Jak działają cyberprzestępcy?
Jak udało się ustalić specjalistom Kaspersky Lab, cyberprzestępcy stojący za za Roaming Mantis wyszukują podatne na ataki routery, a następnie infekują je poprzez dość prostą sztuczkę jaką jest przechwytywanie ustawień DNS na tych urządzeniach sieciowych. Metoda infekowania routerów pozostaje nieznana. Gdy ustawienia DNS zostaną zmodyfikowane, użytkownik, który chce otworzyć dowolną stronę WWW, widzi na ekranie witrynę o prawidłowym adresie, jednak treść jest podstawiana z serwera kontrolowanego przez cyberprzestępców. Obejmuje ona zalecenie uaktualnienia przeglądarki do najnowszej wersji aplikacji Chrome („To better experience the browsing, update to the latest chrome version”). Kliknięcie odsyłacza inicjuje instalację zawierającej trojana aplikacji o nazwie facebook.apk lub chrome.apk, która umożliwia atakującym przejęcie kontroli nad zainfekowanym urządzeniem z Androidem.
Szkodliwe oprogramowanie sprawdza, czy zainfekowane urządzenie zostało zrootowane (proces dający dostęp do uprawnień administratora w systemie Android) i przechwytuje informacje o wszelkiej aktywności użytkownika związanej z przeglądaniem zasobów internetu. Szkodnik potrafi gromadzić szereg informacji, łącznie z danymi uwierzytelniającymi. Badacze odkryli, że fragmenty kodu szkodliwego programu odnoszą się do popularnych w Korei Południowej aplikacji bankowych i gier.
Rozszerzony zasięg geograficzny celów oraz funkcjonalności
W pierwotnym badaniu Kaspersky Lab zidentyfikowano około 150 celów, główne w Korei Południowej, Bangladeszu oraz Japonii, jednak tysiące połączeń nawiązywanych każdego dnia z serwerami kontrolowanymi przez cyberprzestępców wskazują na znacznie większą skalę ataku. Szkodnik obejmował obsługę czterech języków: koreańskiego, uproszczonego chińskiego, japońskiego oraz angielskiego.
Obecnie zasięg ataków został rozszerzony i obsługiwanych jest łącznie 27 języków, w tym polski, niemiecki, włoski, czeski, hiszpański, arabski, bułgarski oraz rosyjski. Atakujący wprowadzili również przekierowanie do stron phishingowych o tematyce związanej z firmą Apple, jeżeli szkodliwe oprogramowanie trafi na urządzenie z systemem iOS. Najnowszym nabytkiem w arsenale cybergangu jest strona phishingowa wykorzystywana do angażowania mocy obliczeniowej komputerów PC do kopania kryptowaluty. Z obserwacji Kaspersky Lab wynika, że miała miejsce co najmniej jedna fala ataków na szerszą skalę, a badacze w ciągu kilku dni zarejestrowali ponad 100 celów wśród klientów Kaspersky Lab.
Kiedy w kwietniu po raz pierwszy informowaliśmy o Roaming Mantis, określiliśmy tę operację jako aktywne i szybko zmieniające się zagrożenie. Nowe dowody wskazują na znaczącą ekspansję zasięgu geograficznego celów, który obejmuje Europę i Bliski Wschód, ale nie tylko. Uważamy, że atakujący to przestępcy dążący do osiągnięcia zysku finansowego, a z wielu znalezionych poszlak wynika, że posługują się językiem chińskim lub koreańskim. Zagrożenie to prawdopodobnie nie osłabnie w najbliższym czasie, ponieważ napędza je ogromna motywacja. Wykorzystanie przez cyberprzestępców zainfekowanych routerów podkreśla potrzebę niezawodnej ochrony urządzeń oraz stosowania bezpiecznych połączeń – powiedział Suguru Ishimaru, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
Produkty Kaspersky Lab wykrywają zagrożenie Roaming Mantis jako Trojan-Banker.AndroidOS.Wroba.
Aby zabezpieczyć swoje połączenie internetowe przed infekcjami podobnymi do Roaming Mantis, należy wykonać następujące działania:
- Sprawdź, czy ustawienia DNS w Twoim routerze nie zostały zmodyfikowane, lub skontaktuj się z dostawcą usług internetowych w celu uzyskania pomocy w tej kwestii.
- Zmień domyślny login i hasło dla interfejsu WWW administratora routera i regularnie aktualizuj oprogramowanie układowe (firmware) swojego urządzenia sieciowego, korzystając z oficjalnego źródła.
- Nigdy nie instaluj oprogramowania układowego routera ze źródeł osób trzecich. Podobnie, nie korzystaj z nieoficjalnych źródeł z aplikacjami dla systemu Android.
- Zawsze sprawdzaj adresy stron internetowych, aby upewnić się, czy są tymi, za jakie się podają; jeżeli musisz wprowadzić swoje dane, zwracaj uwagę na elementy sugerujące, że dana strona jest bezpieczna, takie jak ciąg https na początku adresu strony.
Przeczytaj także:
TOP 10 zagrożeń na Androida
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)