Nebezpečný malware Roaming Mantis může útočit i na Čechy, zjistila Kaspersky Lab

22. května 2018 – V polovině dubna informovali odborníci Kaspersky Lab o novém malwaru zaměřeném na zařízení s operačním systémem Android. Malware, zacílený převážně na asijské uživatele, se šířil prostřednictvím systému DNS a hijacking techniky. Od té doby se výrazně vyvinul a rozšířil. Kyberzločinci přidali phishingové nástroje zacílené na zařízení s iOS, a mezi oběti se nově zařadili i uživatelé v Evropě a na Blízkém východě. Ohroženi mohou být i čeští uživatelé, protože malware nově podporuje mimo jiné i češtinu. Novou zbraní tohoto malwaru je i schopnost nelegálně těžit kryptoměny na pevných počítačích. Tato kampaň, pojmenovaná Roaming Mantis, je navržená tak, aby jejím prostřednictvím hackeři získali citlivé údaje uživatelů a plnou kontrolu nad jejich zařízeními. Odborníci předpokládají, že za útoky stojí buď korejsky, nebo čínsky mluvící hackerská skupina.

Metoda útoku

Podle zjištění odborníků Kaspersky Lab zločinci zodpovědní za Roaming Mantis zneužívají zranitelnosti routerů. Zařízení infikují malwarem pomocí velmi jednoduchého, ale efektivního podvodu, kdy se zmocní nastavení DNS infikovaných routerů. Jakou konkrétní metodu využívají k napadení routerů zatím není zcela jasné. Jakmile kyberzločinci získají přístup k DNS, začne webový prohlížeč přesměrovávat uživatele na věrohodně vypadající webovou stránku s podvodným obsahem. Ta formou upozornění nabádá uživatele, aby si stáhli nejaktuálnější verzi Chrome prohlížeče. Pokud uživatelé na odkaz kliknou, stáhne se jim aplikace nazvaná „facebook.apk“ nebo „chrome.apk“, která obsahuje trojského koně a backdoor útočníků do zařízení s OS Android.

Malware Roaming Mantis také kontroluje, jestli došlo k rootování zařízení a případně požaduje upozornění na jakoukoliv uživatelovu komunikaci nebo vyhledávání na internetu. Zároveň je schopný shromažďovat velké množství dat včetně přihlašovacích údajů pro dvoufázovou autentizaci. Tento fakt, spolu s částí malwarového kódu, který odkazuje na ID oblíbených jihokorejských herních a online-bankingových aplikací, dává tušit, že jsou hlavní motivací kyberzločinců peníze.

Nové cíle a schopnosti

Původní bezpečnostní report Kaspersky Lab zjistil, že se obětí malwaru stalo 150 subjektů převážně v jižní Koreji, Bangladéši a Japonsku. Malware přitom podporoval čtyři jazyky: korejštinu, čínštinu, japonštinu a angličtinu.

Záběr útočníků se ale v průběhu čtyř týdnů rapidně rozšířil. Počet podporovaných jazyků vzrostl na 27, včetně češtiny, polštiny, němčiny, arabštiny nebo ruštiny. Pokud se malware setká se zařízením s iOS, snaží se uživatele přesměrovat na phishingové stránky s obsahem o společnosti Apple. Jako nejnovější zbraň používají hackeři podvodnou stránku, která je schopná do pevných počítačů stáhnout malware pro nelegální těžení kryptoměn. Z dat Kaspersky Lab vyplývá, že již proběhla jedna vlna útoků těmito vylepšenými nástroji. Během pár dní bylo napadeno přes sto zákazníků Kaspersky Lab.

„Nová analýza malwaru Roaming Mantis dokládá, že kyberzločinci výrazně vylepšili svůj arzenál a cílí na nové oběti v Evropě nebo na Blízkém východě. Předpokládáme, že mají zájem především o peníze, a že se jedná o čínské nebo korejské hackery. Vzhledem k současnému stavu a motivaci útočníků jsme přesvědčeni, že útoky jen tak nepoleví. Proto je důležité, aby uživatelé využívali účinná bezpečnostní řešení a zabezpečené připojení,“ říká Suguru Ishimaru, bezpečnostní odborník ze společnosti Kaspersky Lab.

Produkty Kaspersky Lab detekují malware Roaming Mantis jako „Trojan-Banker.AndroidOS.Wroba“ a krypto miner jako „Dangerous URL blocked“.

Pro ochranu vašeho internetového připojení doporučuje Kaspersky Lab následující kroky:

  • Ověřte podle manuálu k vašemu routeru, zda nebylo poškozeno nastavení DNS, nebo se obraťte na svého poskytovatele internetových služeb.
  • Změňte výchozí přihlašovací jméno a heslo administrátorského rozhraní routeru a pravidelně aktualizujte jeho firmware z oficiálního zdroje.
  • Nikdy neinstalujte firmware z jiných zdrojů. Nepoužívejte úložiště třetích stran pro zařízení Android.
  • Vždy zkontrolujte adresy prohlížeče a webových stránek, abyste se ujistili, že jsou legitimní; při požadavku na zadání dat hledejte znaky jako https.
  • Zvažte instalaci mobilního řešení zabezpečení, jako je Kaspersky Internet Security for Android, abyste chránili vaše zařízení před těmito a dalšími hrozbami.

Další informace o Roaming Mantis a technických informacích si můžete přečíst v blogu na Securelistu.

O společnosti Kaspersky Lab

Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností již více než 20 let. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb nové generace zaměřených na ochranu podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.