Как взлом роутера позволяет злоумышленникам красть деньги: «Лаборатория Касперского» нашла угрозу для Android и не только

«Лаборатория Касперского» обнаружила угрозу, которая активно распространяется по миру через взломанные роутеры. Зловред, получивший название Roaming Mantis, изначально атаковал пользователей Android в Азии с целью сбора данных. Сейчас же злоумышленники добавили в него «поддержку» уже 27 различных языков, распространённых на Ближнем Востоке и в Европе, в том числе русский. Кроме того, атакующие теперь разработали и дополнительный фишинговый модуль для iOS-устройств, а также внедряют скрытый скрипт-майнер криптовалют (Coinhive/Monero) в случае выхода в сеть с ПК.

Изначальной целью атакующих были конфиденциальные данные, в частности используемые для двухфакторной аутентификации, например, для доступа к Google-аккаунтам жертв. Roaming Mantis даёт злоумышленникам полный контроль над заражённым устройством, поэтому они могут собирать любую интересующую их информацию. Как полагают эксперты «Лаборатории Касперского», за этим, скорее всего, стоят китайско- или корейскоговорящие киберпрестпуники.

В начале своей «карьеры» Roaming Mantis атаковал, по подсчётам аналитиков «Лаборатории Касперского», около 150 пользователей – преимущественно в Южной Корее, Бангладеш и Японии. После расширения возможностей зловреда эксперты зарегистрировали ещё более 100 попыток атак. В то же время на серверах злоумышленников ежедневно фиксируются тысячи соединений, что может говорить о более широком масштабе заражений.

Распространяется Roaming Mantis с помощью техники подмены DNS (системы доменных имён). Зловред ищет уязвимые роутеры и меняет их настройки DNS. Метод компрометации роутеров до сих пор остаётся неизвестным. Однако в случае успешного взлома и подмены настроек любая попытка пользователя перейти на какой-либо сайт будет заканчиваться тем, что он окажется на фальшивой странице, созданной злоумышленниками. Страница эта будет показывать жертве сообщение с предложением установить последнюю версию браузера (например, Google Chrome) для перехода на запрошенную страницу. Если человек согласится и его настройки системы разрешают установку приложений из сторонних источников, то это автоматически запустит установку троянского приложения, содержащего бэкдор для Android. Если это пользователь с iOS – то его направят на фишинговую страницу, а если ПК – то внедрят майнер криптовалют.

Защитные решения «Лаборатории Касперского» успешно выявляют и блокируют Roaming Mantis: вредоносная программа детектируется как Trojan-Banker.AndroidOS.Wroba.

Чтобы не стать жертвой подобной угрозы, «Лаборатория Касперского» рекомендует пользователям:

• проверить подлинность настроек DNS в своём роутере (с помощью инструкции или интернет-провайдера);
• изменить логин и пароль, установленные на роутере производителем, и регулярно обновлять программное обеспечение устройства из официальных источников;
• никогда не устанавливать ПО из ненадёжных источников;
• всегда проверять подлинность браузера и веб-сайта, а прежде чем вводить какие-либо данные, убедиться в защищённости страницы (например, с помощью протокола безопасного соединения https);
• для защиты данных на смартфоне – установить специализированное защитное решение, например, Kaspersky Internet Security для Android.

Подробнее об угрозе Roaming Mantis можно узнать из отчёта «Лаборатории Касперского»: https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/.

Источник: www.kaspersky.ru