Roaming Mantis заражает смартфоны через Wi-Fi роутеры

Изначально нацеленный на пользователей из Японии, Кореи и Китая, зловред Roaming Mantis быстро распространяется по миру, заражая смартфоны через взломанные роутеры.

Roaming Mantis заражает смартфоны через Wi-Fi роутеры

Некоторое время назад наши эксперты исследовали зловред, названный ими Roaming Mantis. В тот момент данный зловред атаковал в основном пользователей из Японии, Кореи, Китая, Индии и Бангладеш, поэтому мы не стали рассказывать о нем в других регионах — казалось, что это локальная угроза, которая не затрагивает остальной мир.

Однако за прошедший с момента выпуска отчета месяц Roaming Mantis научился говорить еще на двух десятках языков — в том числе и на русском — и быстро распространяется по миру.

Зловред использует взломанные роутеры, чтобы заражать смартфоны и планшеты на Android, перенаправлять устройства на iOS на фишинговый сайт и запускать майнинговый скрипт CoinHive на десктопах и ноутбуках. Для всего этого он применяет DNS hijacking — подмену DNS, поэтому довольно сложно заметить, что что-то идет не так.

Что такое DNS hijacking

Когда вы вводите в строку браузера имя сайта, браузер на самом деле не посылает запрос на этот сайт. Он просто не может это сделать: Интернет работает на IP-адресах, которые представляют собой набор цифр, а доменные имена с буквами сделаны для людей — просто чтобы было удобно их запоминать и вводить.

Поэтому первое, что делает браузер после ввода адреса — это посылает запрос на так называемый DNS-сервер (DNS — Domain Name System, система доменных имен), который переводит «человеческое» имя в IP-адрес соответствующего сайта. И именно по этому IP-адресу на самом деле и обращается браузер, чтобы загрузить сайт.

DNS hijacking (он же перехват DNS) — это способ сделать так, чтобы браузер получил не тот адрес, который соответствует набранному доменному имени, а какой-то другой. При этом в строке адреса браузера будет отображаться введенный пользователем адрес, так что пользователь ничего не заподозрит.

Подмены DNS можно добиться разными способами, но создатели Roaming Mantis выбрали, пожалуй, самый простой и эффективный из них: они прописывают в настройках скомпрометированных роутеров свои адреса DNS-серверов. После этого, что бы пользователь ни набрал в адресной строке браузера на подключенном к данному роутеру устройстве, его перенаправят на вредоносный сайт.

Roaming Mantis: как происходит заражение на Android

После того как пользователь был перенаправлен на вредоносный сайт, выводится предупреждение о том, что ему следует обновить браузер. После этого начинается загрузка вредоносного приложения с именем chrome.apk (также существует версия с именем facebook.apk).

Roaming Mantis: как происходит заражение на Android

В процессе установки зловред запрашивает уйму различных разрешений — в том числе на доступ к информации об аккаунтах, получение и отправку SMS и обработку голосовых звонков, запись аудио, доступ к файлам, отображение своего окна поверх других и так далее. Для такого доверенного приложения, как Google Chrome, этот список выглядит не таким уж подозрительным — если уж пользователь поверил, что это легитимный браузер, то разрешения наверняка выдаст, даже не особенно вчитываясь в запрос.

После установки приложения зловред использует право на доступ к списку аккаунтов, чтобы узнать, какая учетная запись используется в данном устройстве. А после этого пользователю выводится сообщение — в окне поверх всех остальных, на это зловред также запрашивал право — о том, что с его аккаунтом что-то не в порядке и надо перелогиниться. Далее открывается страница, на которой пользователь должен ввести свое имя и дату рождения.

Roaming Mantis: как происходит заражение на Android

По всей видимости, впоследствии эти данные вместе с разрешениями на доступ к SMS, открывающим доступ к одноразовым кодам двухфакторной аутентификации, используются создателем Roaming Mantis для кражи аккаунтов Google.

Roaming Mantis — мировые гастроли, дебют на iOS и майнинг

Изначально данный зловред умел выводить сообщения на четырех языках: английском, корейском, китайском и японском. Однако в какой-то момент создатели Roaming Mantis решили не ограничиваться этими странами и научили зловред говорить еще на двух десятках языков:

  • арабском,
  • армянском,
  • бенгальском,
  • болгарском,
  • вьетнамском,
  • грузинском,
  • иврите,
  • индонезийском,
  • испанском,
  • итальянском,
  • малайском,
  • немецком,
  • польском,
  • португальском,
  • русском,
  • сербохорватском,
  • тагальском,
  • тайском,
  • турецком,
  • украинском,
  • хинди,
  • чешском.

Заодно Roaming Mantis научили атаковать устройства, работающие под управлением iOS. Тут все происходит иначе, чем на Android. Вместо загрузки приложения вредоносный сайт сразу показывает предупреждение о том, что пользователю следует заново залогиниться в App Store — и показывает соответствующую страницу. При этом в адресной строке отображается вызывающий доверие адрес security.apple.com:

Roaming Mantis: фишинговая страница для iOS

Причем в данном случае злоумышленники не стали ограничиваться кражей логина и пароля от Apple ID, и сразу после ввода этих данных требуют от пользователя ввести еще и номер банковской карты:

Roaming Mantis: фишинговая страница для iOS

Третье нововведение, которое обнаружили наши эксперты, касается настольных компьютеров и ноутбуков. На них Roaming Mantis запускает майнинговый скрипт CoinHive, который майнит криптовалюту в карман создателей зловреда. Процессор в компьютере жертвы при этом загружается вплоть до 100%, от чего система, естественно, ужасно тормозит и тратится уйма электричества.

Roaming Mantis: майнинг на десктопах и ноутбуках

Больше подробностей о Roaming Mantis вы можете найти в оригинальном исследовании и в свежем посте на Securelist с обновленной информацией о зловреде.

Как защититься от Roaming Mantis

  • Используйте антивирусы не только на компьютерах и ноутбуках, но и на мобильных устройствах.
  • Регулярно обновляйте все установленное на ваших устройствах программное обеспечение.
  • Отключите в Android-смартфоне и планшете установку приложений из неизвестных источников. Это делается в меню Настройки -> Безопасность -> Неизвестные источники.

  • Прошивку роутера также следует обновлять как можно чаще. Не используйте «левые» прошивки, загруженные непонятно с каких сайтов.
  • Всегда меняйте пароль администратора роутера, установленный по умолчанию.

Что делать, если вы подцепили Roaming Mantis

  • Срочно поменяйте пароли во всех аккаунтах, данные которых вы выдали зловреду. Заблокируйте банковскую карту, если вы вводили ее данные на фишинговом сайте Roaming Mantis.
  • Установите антивирус на все ваши устройства и запустите проверку.
  • Зайдите в настройки вашего роутера и проверьте прописанный в них адрес DNS. Если он не совпадает с тем, который вам выдал ваш провайдер, — поменяйте на правильный.
  • Поменяйте пароль администратора роутера и обновите прошивку. И не стоит загружать ее откуда попало — используйте только официальный сайт производителя роутера.
Советы