Вредоносное ПО Roaming Mantis расширяет свое присутствие и набирает силу

Еще в апреле «Лаборатория Касперского» сообщила о вредоносном ПО для Android под названием Roaming Mantis. Roaming Mantis выполнял перехват DNS в качестве основного метода заражения, в результате чего, прежде всего, была установлена установка мощного банковского троянца через перенаправление на целевую страницу. В последнее время вредоносное ПО Roaming Mantis демонстрирует признаки повышения направленности и охвата с точки зрения того, что оно атакует, а также где оно атакует.

Как показывает новый отчет SecureList, совместное исследование, проведенное «Лабораторией Касперского», McAfee и TrendMicro, выявило тревожную скорость, с которой Roaming Mantis набирает силу. Во-первых, вредоносное ПО изначально было нацелено на Азию (особенно на Восточную и Южную Азию), но вредоносное ПО становится глобальным: примерно 27 языков «жестко запрограммированы в исходном HTML-коде целевой страницы», что обманом заставляет пользователей загружать вредоносные файлы apk. Нередки случаи, когда вредоносное ПО становится глобальным, но увеличение числа языков на 27 (таким образом, выход за пределы Азии, нацеленный на Европу и регион MENA) всего за один месяц свидетельствует о серьезной инициативе.

Исследовательские группы в вышеупомянутых организациях также обнаружили, что атаки бродячего богомола расширились, а его маневры уклонения улучшились. Вредоносное ПО больше не нацелено только на ОС Android, но распространилось как на Apple iOS, так и на ПК. В случае с iOS злоумышленники, стоящие за вредоносным ПО Roaming Mantis, создали фишинговую страницу с целью кражи учетных данных пользователя.

В отчете механика атаки описывается следующим образом:

Когда пользователь подключается к целевой странице через устройства iOS, пользователь перенаправляется на «http://security.apple.com/»… Законный DNS-сервер не сможет разрешить такое доменное имя, потому что он просто не не существует. Однако пользователь, подключающийся через скомпрометированный маршрутизатор, может получить доступ к целевой странице, поскольку мошенническая служба DNS разрешает этот домен в IP-адрес 172.247.116[.]155.

Что касается ПК, то основным дополнением к атаке Roaming Mantis является криптомайнинг через браузер. Как только пользователь ПК подключается к назначенной целевой странице, Roaming Mantis использует сценарий CoinHive, чтобы начать процесс. Что касается обходных маневров, согласно сообщению SecureList, вредоносное ПО было улучшено, чтобы избежать обнаружения:

Методы уклонения, используемые бродячим богомолом, также стали более изощренными. Несколько примеров недавних дополнений, описанных в этом посте, включают новый метод получения C2 с использованием протокола электронной почты POP, динамическую автоматическую генерацию на стороне сервера изменяющихся файлов/имен файлов apk и включение дополнительной команды, потенциально помогающей в выявлении исследований. среды, все были добавлены.

Исследователи безопасности продолжат следить за Roaming Mantis и его атаками.