Новый зловред взламывает роутеры по всему миру

19.05.2018

Roaming Mantis изначально атаковал пользователей Android в Азии с целью сбора данных. Сейчас же злоумышленники добавили в него «поддержку» уже 27 языков, распространённых на Ближнем Востоке и в Европе, в том числе русский.

«Лаборатория Касперского» обнаружила угрозу, которая активно распространяется по миру через взломанные роутеры. Зловред, получивший название Roaming Mantis, изначально атаковал пользователей Android в Азии с целью сбора данных. Сейчас же злоумышленники добавили в него «поддержку» уже 27 языков, распространённых на Ближнем Востоке и в Европе, в том числе русский. Кроме того, атакующие теперь разработали и дополнительный фишинговый модуль для iOS-гаджетов, а также внедряют скрытый скрипт-майнер криптовалют Coinhive и Monero в случае выхода в сеть с ПК.

Изначальной целью атакующих были конфиденциальные данные, в частности используемые для двухфакторной аутентификации, например, для доступа к Google-аккаунтам жертв. Roaming Mantis даёт злоумышленникам полный контроль над заражённым устройством, поэтому они могут собирать любую интересующую их информацию. Как полагают эксперты «Лаборатории Касперского», за этим, скорее всего, стоят китайско- или корейскоговорящие киберпрестпуники.

Распространяется Roaming Mantis с помощью техники подмены DNS (системы доменных имён). Зловред ищет уязвимые роутеры и меняет их настройки DNS. Метод компрометации роутеров до сих пор остаётся неизвестным. Однако в случае успешного взлома и подмены настроек любая попытка пользователя перейти на какой-либо сайт будет заканчиваться тем, что он окажется на фальшивой странице, созданной злоумышленниками.

Страница эта будет показывать жертве сообщение с предложением установить последнюю версию браузера (например, Google Chrome) для перехода на запрошенную страницу. Если человек согласится и его настройки системы разрешают установку приложений из сторонних источников, то это автоматически запустит установку троянского приложения, содержащего бэкдор для Android. Если это пользователь с iOS — то его направят на фишинговую страницу, а если ПК — то внедрят майнер криптовалют.

Источник: Лаборатория Касперского
Фото: ASUS

Читайте также: