Roaming Mantis：通過Wi-Fi路由器感染智能手機

前段時間，我們的專家調查了一款他們稱為Roaming Mantis的惡意軟體。當時，受影響的人主要來自日本，韓國，中國，印度和孟加拉國的用戶，所以我們沒有在其他地區討論惡意軟體，這似乎是一個針對威脅。

然而，自報告發布以來的一個月，Roaming Mantis又增加了二十多種語言，並迅速在世界各地傳播。

惡意軟體使用受感染的路由器感染基於Android的智能手機和平板電腦。然後，它將iOS設備重定向到釣魚網站，並在台式機和筆記本電腦上運行CoinHive密碼管理腳本。它是通過DNS劫持的方式實現的，這使得目標用戶難以發現某些問題。

什麼是DNS劫持

當您在瀏覽器地址欄中輸入網站名稱時，瀏覽器實際上並未向該網站發送請求。它不能; 互聯網對IP地址進行操作，這是一組數字，而帶有單詞的域名更易於人們記住和輸入。

當你輸入一個URL時，你的瀏覽器發送一個請求到一個DNS伺服器（DNS是域名系統），它將人性化的名字翻譯成相應網站的IP地址。這是瀏覽器用來查找和打開網站的這個IP地址。

DNS劫持是一種欺騙瀏覽器的方式，讓瀏覽器誤認為它已經將域名與正確的IP地址相匹配。儘管IP地址不正確，但用戶輸入的原始URL會顯示在瀏覽器地址欄中，因此沒有任何可疑內容。

有很多DNS劫持技術，但Roaming Mantis創造者們選擇了或許最簡單和最有效的方法：他們劫持被破壞的路由器的設置，迫使他們使用他們自己的流氓DNS伺服器。這意味著只要是連接到此路由器的設備無論在瀏覽器地址欄中輸入任何內容，都會被重定向到惡意站點。

在Android上的Roaming Mantis

用戶重定向到惡意網站後，系統會提示他們更新瀏覽器。這導致下載一個名為chrome.apk的惡意應用程序（還有另一個版本，名為facebook.apk）。

惡意軟體會在安裝過程中請求一系列許可權，包括訪問帳戶信息的許可權，發送和接收SMS消息，處理語音呼叫，錄製音頻，訪問文件，在其它應用上顯示自己的窗口等等。對於Google Chrome這樣的可信應用程序，該列表並不可疑 - 如果用戶認為此「瀏覽器更新」合法，則他們一定會授予許可權，甚至不會在乎許可權列表。

應用程序安裝完成後，惡意軟體使用許可權訪問帳戶列表以找出設備上使用的Google帳戶。接下來，用戶會看到一條消息（它顯示在所有其他打開的窗口的頂部，這是惡意軟體請求的另一個許可權），表示他們的帳戶出現問題，並且他們需要重新登錄。然後打開一個頁面並提示用戶輸入他們的姓名和出生日期。

Roaming Mantis：世界巡迴演唱會，iOS首發挖礦

一開始，Roaming Mantis可以用四種語言顯示信息：英語，韓語，中文和日語。但是在其他地方，它的作者擴展另外二十種語言：

阿拉伯

亞美尼亞

保加利亞語

孟加拉

捷克

喬治亞

德語

希伯來語

印地語

印度尼西亞

義大利

馬來語

拋光

葡萄牙語

俄語

塞爾維亞 - 克羅埃西亞語

西班牙語

他加祿語

泰國

土耳其

烏克蘭

越南

作者還改進了Roaming Mantis，以具備攻擊iOS的設備。這是與Android攻擊不同的場景。在iOS上，Roaming Mantis跳過下載應用程序; 相反，惡意站點會顯示一個釣魚頁面，提示用戶立即重新登錄到App Store。為了增加可信度，地址欄顯示可靠的URLsecurity.apple.com：

Roaming Mantis不僅僅會盜用Apple ID，還會要求用戶輸入銀行卡號碼：

我們的專家發現該惡意程序還會感染pc。在這些設備上，漫遊Mantis運行CoinHive挖掘腳本，該腳本挖掘加密貨幣並將其直接轉儲到犯罪分子的錢包中。受害者的cpu資源被大量佔用，迫使系統卡頓並消耗大量電力。

如何防止感染該惡意程序

在設備上安裝防護軟體：不僅僅是電腦和筆記本電腦，還有智能手機和平板電腦。

定期更新設備上的所有已安裝軟體。

在Android設備上，禁用未知來源的應用程序安裝。您可以在設置 - >安全 - >未知來源下找到該選項。

儘可能經常更新您的路由器固件（查看您的路由器的手冊以了解如何）。請勿使用從未知網站下載的非官方固件。

*參考來源：Kaspersky，由Backspaces編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！