恶意软件Roaming Mantis升级 将DNS劫持攻击从亚洲延伸到世界各地

发布时间:2018-05-25

据外媒报道, 4月16日,卡巴斯基实验室研究人员报告了一种最新的安卓恶意软件。该恶意软件通过域名系统(DNS)劫持技术进行传播,主要针对亚洲地区的智能手机进行攻击。四周后(5月18日),这种威胁仍然在继续快速演化。


与之前的版本类似,新的 Roaming Mantis 恶意软件通过DNS劫持进行分发,攻击者更改无线路由器的DNS设置,将流量重定向到由他们控制的恶意网站。因此,当用户试图通过一个被破坏的路由器访问任何网站时,他们都会被重定向到恶意网站,区别在于,针对不同类型的设备,恶意网站的功能会有所不同,具体如下:

针对Android用户-与之前一样,恶意网站用于向用户提供恶意应用;

针对iOS用户-恶意网站用于网络钓鱼;

针对PC用户-将用户重定向到嵌有加密货币矿工脚本的恶意站点。



这种被称为Roaming Mantis的网络攻击行动的目标只要是窃取用户信息,包括凭证在内的信息,让攻击者完全控制受感染设备。


此外,恶意应用apk文件支持的语言从之前的4种(韩文、简体中文、日文和英文)增加到了27种,以扩大在欧洲和中东地区的业务范围。具体如下:



卡巴斯基实验室的研究表明,Roaming Mantis背后的攻击者会搜寻包含漏洞的路由器进行入侵,通过非常简单,但是很有效的劫持受感染路由器DNS设置的方法来传播恶意软件。一旦DNS被成功劫持,用户访问任何网站的企图都会打开一个看上去真实的包含伪造内容的URL地址,其实来自攻击者的服务器。页面包含一个提示请求:“为了获得更好的浏览体验,请更新到最新版的Chrome浏览器。”点击链接会启动安装一个名为“facebook.apk”或“chrome.apk”的木马应用,其中包含攻击者的安卓后门程序。


Roaming Mantis恶意软件会检查被感染设备是否获取了root权限,并请求获得有关用户进行的任何通信或浏览活动的通知权限。它还能够收集大量数据,包括双因素认证凭证。收集登陆凭证的兴趣以及恶意软件代码提到了韩国常见的手机银行和游戏应用程序ID,表明这次攻击行动的目的可能是为了获得经济利益。


卡巴斯基实验室日本安全研究员Suguru Ishimaru说:“我们在4月份最早报告Roaming Mantis时说过这是一种非常活跃并且快速变化的威胁。这种威胁背后显然有明显的动机,所以不可能在短期内消失。这次的攻击使用受感染的路由器,同时劫持DNS,凸显了进行设备保护以及使用安全连接的必要性”。


为了保护免受此类恶意软件的侵害,安全研究人员给出了以下建议:

建议您确保您的路由器运行最新版本的固件并使用强密码保护;

由于黑客活动使用攻击者控制的 DNS 服务器伪装合法域名,将用户重定向到恶意下载文件,所以建议您在访问站点前确保其启用了 HTTPS;

您还应该禁用路由器的远程管理功能,并将可信的 DNS 服务器硬编码到操作系统网络设置中;

建议 Android 用户从官方商店安装应用程序,并设置禁用安装未知来源的应用程序;

检查您的 Wi-Fi 路由器是否已被入侵,查看您的 DNS 设置并检查 DNS 服务器地址,如果它与您的提供商发布的不符,请将其修正,并立即更改所有帐户密码。”