Tu jesteś:
GSMService.pl
» Aktualności
Kaspersky wykrył cybergang Roaming Mantis atakujący smartfony z Androidem
Dodał: Monika Kowalczewska -
opublikowano:
2018-04-16 15:28 -
czytano: 127
razy
-
dodaj komentarz

W okresie luty-kwiecień 2018 r. badacze wykryli to szkodliwe oprogramowanie głównie w Korei Południowej, Bangladeszu oraz Japonii, jednak z dużym prawdopodobieństwem istnieją także ofiary zlokalizowane w innych częściach świata. Zdaniem ekspertów z Kaspersky Lab cyberprzestępcy stojący za operacją są motywowani chęcią zysku.
Z badań Kaspersky Lab wynika, że atakujący stojący za omawianymi atakami szukają routerów podatnych na ataki i dystrybuują szkodliwe oprogramowanie z użyciem prostego triku polegającego na przechwyceniu ustawień DNS w tych urządzeniach sieciowych. Sama metoda wykorzystywana do atakowania routerów pozostaje nieznana. Gdy ustawienia DNS zostaną zmodyfikowane, użytkownik, który chce otworzyć dowolną stronę WWW, widzi na ekranie witrynę o prawidłowym adresie, jednak treść jest podstawiana z serwera kontrolowanego przez cyberprzestępców. Zawiera ona komunikat informujący użytkownika, że w celu zwiększenia komfortu przeglądana internetu należy zainstalować nową wersję przeglądarki. Kliknięcie wyświetlanego odnośnika inicjuje instalację konia trojańskiego, który umożliwia atakującym przejęcie kontroli nad zainfekowanym urządzeniem z Androidem.
Szkodliwe oprogramowanie Roaming Mantis sprawdza, czy zainfekowane urządzenie zostało zrootowane (proces dający dostęp do uprawnień administratora w systemie Android) i przechwytuje informacje o wszelkiej aktywności użytkownika związanej z przeglądaniem zasobów internetu. Szkodnik potrafi gromadzić szereg informacji, łącznie z danymi uwierzytelniającymi. Badacze odkryli, że fragmenty kodu szkodliwego programu odnoszą się do popularnych w Korei Południowej aplikacji bankowych i gier.
Wstępna analiza Kaspersky Lab wykazała około 150 ofiar, jednak dalsze badanie ujawniło, że każdego dnia kilka tysięcy zainfekowanych urządzań próbowało łączyć się z serwerami cyberprzestępców, co wskazuje na większą skalę ataku.
Projekt szkodliwego oprogramowania Roaming Mantis może wskazywać, że zostało ono przygotowane z myślą o szerokiej dystrybucji w Azji. Szkodnik obsługuje cztery języki: koreański, chiński uproszczony, japoński oraz angielski. Ślady pozostawione w kodzie przez cyberprzestępców sugerują, że autorzy posługują się głównie językiem koreańskim i chińskim uproszczonym.
Roaming Mantis to aktywne i szybko zmieniające się zagrożenie. Dlatego zdecydowaliśmy się opublikować nasze odkrycia już teraz, nie czekając na zakończenie szczegółowej analizy. Cyberprzestępcy wydają się być mocno zmotywowani, zatem użytkownicy i firmy powinny mieć świadomość zagrożenia. Wykorzystanie przez atakujących zainfekowanych routerów i techniki przechwytywania ustawień DNS to jasny sygnał, że należy przykładać dużą wagę do ochrony sprzętu sieciowego oraz należytego zabezpieczania sieci — powiedział Suguru Ishimaru, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
Produkty Kaspersky Lab wykrywają szkodliwe oprogramowanie Roaming Mantis jako Trojan-Banker.AndroidOS.Wroba.
Aby zabezpieczyć swoje połączenie internetowe przed infekcjami podobnymi do Roaming Mantis, należy wykonać następujące działania:
Z badań Kaspersky Lab wynika, że atakujący stojący za omawianymi atakami szukają routerów podatnych na ataki i dystrybuują szkodliwe oprogramowanie z użyciem prostego triku polegającego na przechwyceniu ustawień DNS w tych urządzeniach sieciowych. Sama metoda wykorzystywana do atakowania routerów pozostaje nieznana. Gdy ustawienia DNS zostaną zmodyfikowane, użytkownik, który chce otworzyć dowolną stronę WWW, widzi na ekranie witrynę o prawidłowym adresie, jednak treść jest podstawiana z serwera kontrolowanego przez cyberprzestępców. Zawiera ona komunikat informujący użytkownika, że w celu zwiększenia komfortu przeglądana internetu należy zainstalować nową wersję przeglądarki. Kliknięcie wyświetlanego odnośnika inicjuje instalację konia trojańskiego, który umożliwia atakującym przejęcie kontroli nad zainfekowanym urządzeniem z Androidem.
Szkodliwe oprogramowanie Roaming Mantis sprawdza, czy zainfekowane urządzenie zostało zrootowane (proces dający dostęp do uprawnień administratora w systemie Android) i przechwytuje informacje o wszelkiej aktywności użytkownika związanej z przeglądaniem zasobów internetu. Szkodnik potrafi gromadzić szereg informacji, łącznie z danymi uwierzytelniającymi. Badacze odkryli, że fragmenty kodu szkodliwego programu odnoszą się do popularnych w Korei Południowej aplikacji bankowych i gier.
Wstępna analiza Kaspersky Lab wykazała około 150 ofiar, jednak dalsze badanie ujawniło, że każdego dnia kilka tysięcy zainfekowanych urządzań próbowało łączyć się z serwerami cyberprzestępców, co wskazuje na większą skalę ataku.
Projekt szkodliwego oprogramowania Roaming Mantis może wskazywać, że zostało ono przygotowane z myślą o szerokiej dystrybucji w Azji. Szkodnik obsługuje cztery języki: koreański, chiński uproszczony, japoński oraz angielski. Ślady pozostawione w kodzie przez cyberprzestępców sugerują, że autorzy posługują się głównie językiem koreańskim i chińskim uproszczonym.
Roaming Mantis to aktywne i szybko zmieniające się zagrożenie. Dlatego zdecydowaliśmy się opublikować nasze odkrycia już teraz, nie czekając na zakończenie szczegółowej analizy. Cyberprzestępcy wydają się być mocno zmotywowani, zatem użytkownicy i firmy powinny mieć świadomość zagrożenia. Wykorzystanie przez atakujących zainfekowanych routerów i techniki przechwytywania ustawień DNS to jasny sygnał, że należy przykładać dużą wagę do ochrony sprzętu sieciowego oraz należytego zabezpieczania sieci — powiedział Suguru Ishimaru, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.
Produkty Kaspersky Lab wykrywają szkodliwe oprogramowanie Roaming Mantis jako Trojan-Banker.AndroidOS.Wroba.
Aby zabezpieczyć swoje połączenie internetowe przed infekcjami podobnymi do Roaming Mantis, należy wykonać następujące działania:
- Zmień domyślny login i hasło do panelu administracyjnego swojego routera.
- Upewnij się, że ustawienia DNS w routerze nie zostały zmodyfikowane. Jeżeli nie wiesz, jakie są prawidłowe ustawienia DNS, skontaktuj się ze swoim dostawcą internetu.
- Unikaj instalowania w routerze oprogramowania układowego (firmware) pochodzącego od nieautoryzowanych dostawców.
- Nie instaluj na urządzeniach z Androidem aplikacji spoza oficjalnych źródeł.
- Regularnie uaktualniaj oprogramowanie układowe swojego routera z oficjalnego źródła.
Źródło:
Kaspersky Lab
Dodaj komentarz:
zaloguj się
x








- Nowe oferty w Plusie dla Firm (wideo)
- Q-Smart III w kolorze głębokiej czerni w sklepach Biedronka
- Ewolucja QLED TV, czyli co nowego zaoferują flagowe telewizory Samsung w 2018
- Szkoły z sześciu województw otrzymają dostęp do szybkiego internetu
- Czy Facebook jest bezpieczny dla Twojego dziecka?
- Kaspersky Lab przystępuje do Enterprise Ethereum Alliance
- Play: Nowy super pakiet Unlimit za 25 zł na Ukrainę (wideo)

- Q-Smart III w kolorze głębokiej czerni w sklepach Biedronka
- myPhone Q-Smart Black Edition i Hykker Classic II dostępne w Biedronce
- Nowe technologie mogą poprawić jakość opieki zdrowotnej
- Raport Fortinet: coraz więcej cyberataków na firmy i urządzenia IoT
- Chcemy płacić zbliżeniowo już nie tylko kartą i telefonem
- Najwięcej odsłon w sieci pochodzi z dużych miast
- GreenWay Polska podaje stawki ładowania samochodów elektrycznych

- Konfiguracja modemu Orange Airbox (wideo)
- TP S.A. ma już tylko 57,9% rynku Internetowego w Polsce
- Rok Internetu za darmo w Netii
- Szybszy Internet, większe zyski
- Coraz większy zasięg Internetu w Play
- Wyniki ankiety: 30% użytkowników przechowuje swoje hasła na smartfonach
- Porównanie ofert dostępu do internetu
