在上个月中旬,卡巴斯基实验室的安全研究人员发现了一种通过域名系统(Domain Name System,DNS)劫持技术传播的新型Android恶意软件。它会将用户重定向到恶意网站,进而导致捆绑有Android银行木马Trojan-Banker的恶意应用(facebook.apk和chrome.apk)被安装。
恶意软件被命名为“Roaming Mantis”,因为它依赖于Android智能手机漫游(roaming)在WiFi网络之间传播,分发银行木马的目的是为了窃取用户的敏感信息、登录凭证和双重身份验证码。
根据卡巴斯基实验室的遥测数据,该恶意软件在2月9日至4月9日期间被检测到超过6000次,其中超过一半的受害者位于亚洲地区。它主要针对的是韩国Android智能手机用户,其他受影响的国家还包括孟加拉国和日本。
在上周五(5月18日),卡巴斯基实验室表示他们发现了Roaming Mantis的一个新变种,并与之前的版本相比出现了重大的变化。攻击者不仅在地理位置上扩大了攻击范围,并且还增加了新的目标设备类型以及新的感染媒介。
研究人员指出,恶意应用apk文件支持的语言从之前的4种(韩文、简体中文、日文和英文)增加到了27种,覆盖欧洲和中东地区。具体如下:
阿拉伯语
保加利亚语
孟加拉语
捷克语
德语
英语
西班牙语
希伯来语
印地语
亚美尼亚语
印度尼西亚语
意大利语
日语
格鲁吉亚语
朝鲜语
马来语
波兰语
葡萄牙语
俄语塞尔维亚-克罗地亚语
泰语
塔加拉族语
土耳其语
乌克兰语
越语
繁体中文
简体中文
最值得注意的是,新变种已经升级为具备能够全面针对iOS、Android和PC用户发动攻击的能力。与之前类型,新变种仍通过DNS劫持来将用户重定向到恶意网站。区别在于,针对不同类型的设备,恶意网站的功能会有所不同,具体如下:
针对Android用户-与之前一样,恶意网站用于向用户提供恶意应用;
针对iOS用户-恶意网站用于网络钓鱼;
针对PC用户-将用户重定向到嵌有加密货币矿工脚本的恶意站点。
具体来将,Android用户在被重定向到恶意网站后,系统会提示更新浏览器,这会导致下载一个名为chrome.apk或者facebook.apk的恶意应用。在安装后,攻击者可以使用19个内置后门命令来控制受感染的Android设备,包括sendSms、setWifi、gcont、lock、onRecordAction、call、get_apps和ping等。
iOS用户将会被重定向到一个模仿Apple网站的钓鱼网站,声称是“security.app[.]com”,并要求他们输入用户ID、密码、卡号、卡片有效期限和CVV代码。钓鱼网站的HTML源代码与恶意应用apk文件一样,也支持多种语言(25种语言,除了上述列表中的孟加拉语和格鲁吉亚语)。
当用户从PC连接到登录页面时,由于浏览器中的加密货币挖掘活动,CPU使用率将大幅增加,甚至直接达到100%。
另外,从卡巴斯基实验室的最新遥测数据来看,韩国、孟加拉国和日本不再是受影响最严重的国家。相反,俄罗斯、乌克兰和印度成为了重灾区。
卡巴斯基实验室表示,这场黑客活动从发现以来一直持续活跃并迅速升级演变,这意味着攻击者有着很强烈的财务动机,并且很可能拥有充足的资金来更新恶意软件。
由于黑客活动基于将用户重定向到由攻击者控制的恶意网站,以诱导恶意应用apk文件下载行,因此卡巴斯基实验室建议用户在访问任何网站时,确保它们启用了HTTPS。另外,用户还应该禁用路由器的远程管理功能,并将可信的DNS服务器IP地址手动输入到路由器的网络设置中。