天创培训:您身边的信息安全培训专家!
行业动态
恶意软件Roaming Mantis现新变种 目标涵盖iOS、Android和PC用户

Roaming Mantis

在上个月中旬,卡巴斯基实验室的安全研究人员发现了一种通过域名系统(Domain Name System,DNS)劫持技术传播的新型Android恶意软件。它会将用户重定向到恶意网站,进而导致捆绑有Android银行木马Trojan-Banker的恶意应用(facebook.apk和chrome.apk)被安装。

恶意软件被命名为“Roaming Mantis”,因为它依赖于Android智能手机漫游(roaming)在WiFi网络之间传播,分发银行木马的目的是为了窃取用户的敏感信息、登录凭证和双重身份验证码。

根据卡巴斯基实验室的遥测数据,该恶意软件在2月9日至4月9日期间被检测到超过6000次,其中超过一半的受害者位于亚洲地区。它主要针对的是韩国Android智能手机用户,其他受影响的国家还包括孟加拉国和日本。

在上周五(5月18日),卡巴斯基实验室表示他们发现了Roaming Mantis的一个新变种,并与之前的版本相比出现了重大的变化。攻击者不仅在地理位置上扩大了攻击范围,并且还增加了新的目标设备类型以及新的感染媒介。

研究人员指出,恶意应用apk文件支持的语言从之前的4种(韩文、简体中文、日文和英文)增加到了27种,覆盖欧洲和中东地区。具体如下:

  • 阿拉伯语

  • 保加利亚语

  • 孟加拉语

  • 捷克语

  • 德语

  • 英语

  • 西班牙语

  • 希伯来语

  • 印地语

  • 亚美尼亚语

  • 印度尼西亚语

  • 意大利语

  • 日语

  • 格鲁吉亚语

  • 朝鲜语

  • 马来语

  • 波兰语

  • 葡萄牙语

  • 俄语塞尔维亚-克罗地亚语

  • 泰语

  • 塔加拉族语

  • 土耳其语

  • 乌克兰语

  • 越语

  • 繁体中文

  • 简体中文

最值得注意的是,新变种已经升级为具备能够全面针对iOS、Android和PC用户发动攻击的能力。与之前类型,新变种仍通过DNS劫持来将用户重定向到恶意网站。区别在于,针对不同类型的设备,恶意网站的功能会有所不同,具体如下:

  • 针对Android用户-与之前一样,恶意网站用于向用户提供恶意应用;

  • 针对iOS用户-恶意网站用于网络钓鱼;

  • 针对PC用户-将用户重定向到嵌有加密货币矿工脚本的恶意站点。

具体来将,Android用户在被重定向到恶意网站后,系统会提示更新浏览器,这会导致下载一个名为chrome.apk或者facebook.apk的恶意应用。在安装后,攻击者可以使用19个内置后门命令来控制受感染的Android设备,包括sendSms、setWifi、gcont、lock、onRecordAction、call、get_apps和ping等。

iOS用户将会被重定向到一个模仿Apple网站的钓鱼网站,声称是“security.app[.]com”,并要求他们输入用户ID、密码、卡号、卡片有效期限和CVV代码。钓鱼网站的HTML源代码与恶意应用apk文件一样,也支持多种语言(25种语言,除了上述列表中的孟加拉语和格鲁吉亚语)。

当用户从PC连接到登录页面时,由于浏览器中的加密货币挖掘活动,CPU使用率将大幅增加,甚至直接达到100%。

另外,从卡巴斯基实验室的最新遥测数据来看,韩国、孟加拉国和日本不再是受影响最严重的国家。相反,俄罗斯、乌克兰和印度成为了重灾区。

卡巴斯基实验室表示,这场黑客活动从发现以来一直持续活跃并迅速升级演变,这意味着攻击者有着很强烈的财务动机,并且很可能拥有充足的资金来更新恶意软件。

由于黑客活动基于将用户重定向到由攻击者控制的恶意网站,以诱导恶意应用apk文件下载行,因此卡巴斯基实验室建议用户在访问任何网站时,确保它们启用了HTTPS。另外,用户还应该禁用路由器的远程管理功能,并将可信的DNS服务器IP地址手动输入到路由器的网络设置中。