销售客服:400-819-1313
客服中心

客服邮箱
kaba365@pcstars.com.cn

销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)

技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)

卡巴斯基安全警报——Roaming Mantis劫持攻击智能手机

卡巴斯基实验室的研究人员发现一种最新的通过域名系统(DNS)劫持技术传播的安卓恶意软件,其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为Roaming Mantis,目前仍然非常活跃,其攻击目的是窃取包括凭证在内的用户信息,从而让攻击者可以完全控制被感染的安卓设备。2018年2月至4月期间,研究人员在超过150个用户网络中检测到这种恶意软件,主要受害者位于韩国、孟加拉国和日本,而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织,其目的是为了获利。

卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监Vitaly Kamluk表示:“日本的一家媒体最近报道了这次攻击事件,但是在我们进行了一些研究后发现,这种威胁并非起源自日本。事实上,我们发现了多个线索,表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此,大多数受害者也不在日本。Roaming Mantis似乎主要针对韩国的用户,日本受害者似乎是被附带危害。

卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击,通过一种非常简单却有效的劫持受感染路由器DNS设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦DNS被成功劫持,用户访问任何网站的行为都会指向一个看上去真实的URL地址,其中的内容是伪造的,并且来自攻击者的服务器。这些地址要求用户“为了获得更好的浏览体验,请升级到最新版Chrome。”点击链接会启动被植入木马的应用被安装,被感染的应用通常被命名为“facebook.apk”或“chrome.apk”,其中包含攻击者的安卓后门程序。

Roaming Mantis恶意软件会检查设备是否被root,并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据,包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序ID。综合起来,这些迹象表明这次攻击行动的目的可能是为了获得经济利益。

卡巴斯基实验室目前发现了约150个被攻击目标,进一步分析还发现平均每天有数千个对攻击者命令和控制(C2)服务器的连接,表明攻击的规模应该更大。

Roaming Mantis恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外,它支持四种语言,分别为韩语、简体中文、日语和英语。但是,我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。

卡巴斯基实验室产品将这种威胁检测为“Trojan-Banker.AndroidOS.Wroba”。


扫描下方二维码关注卡巴365

获取最新鲜专业的国际安全资讯和分析

热点新闻:

更多>>