W ubiegłym miesiącu Kaspersky Lab wykrył nowe szkodliwe oprogramowanie dla systemu Android, które atakowało głównie urządzenia mobilne w Azji. Po czterech tygodniach zagrożenie to rozszerzyło zasięg geograficzny swoich celów o Europę (łącznie z Polską) i Bliski Wschód, stosując ataki phishingowe wymierzone w urządzenia z systemem iOS oraz zaprzęgając komputery PC do kopania kryptowaluty.
Celem Roaming Mantis jest kradzież informacji użytkowników, łącznie z danymi uwierzytelniającymi, oraz zapewnienie atakującym pełnej kontroli nad zainfekowanymi urządzeniami. Według badaczy za całą operacją stoi koreańsko- lub chińskojęzyczni cyberprzestępcy.
"Hakerzy wyszukują podatne na ataki routery i rozprzestrzeniają szkodliwe oprogramowanie za pośrednictwem prostej, ale bardzo skutecznej sztuczki polegającej na przechwytywaniu ustawień DNS na tych urządzeniach sieciowych. Metoda infekowania routerów pozostaje nieznana" - ostrzega Kaspersky Lab. Gdy ustawienia zostaną zmienione, użytkownik, który próbuje wejść zainfekowanym sprzętem na stronę WWW widzi na ekranie witrynę o prawidłowym adresie, jednak treść jest podstawiana z serwera cyberprzestępców.
Użytkownik dostaje też komunikat, by zaktualizował Chrome, Jeśli to zrobi, to zamiast przeglądarki dostaje na urządzenie Android trojana, który pozwala przejąć kontrolę nad urządzeniem.
Szkodliwe oprogramowanie sprawdza, czy zainfekowane urządzenie zostało zrootowane przez użytkownika i przechwytuje informacje o wszelkiej aktywności w sieci - zbiera też nasze hasła i loginy.
Atakujący nie oszczędzili także iOS. URządzenia Apple'a wprowadzają użytkownika na strony phishingowe. Mantis wykorzystuje też przejęte pecety do kopania kryptowalut. "Z obserwacji Kaspersky Lab wynika, że miała miejsce co najmniej jedna fala ataków na szerszą skalę, a badacze w ciągu kilku dni zarejestrowali ponad 100 celów wśród klientów Kaspersky Lab" - czytamy w komunikacie firmy
Zagrożenie to prawdopodobnie nie osłabnie w najbliższym czasie, ponieważ napędza je ogromna motywacja. Wykorzystanie przez cyberprzestępców zainfekowanych routerów podkreśla potrzebę niezawodnej ochrony urządzeń oraz stosowania bezpiecznych połączeń - powiedział Suguru Ishimaru, badacz ds. cyberbezpieczeństwa, Kaspersky Lab. Produkty Kaspersky Lab wykrywają zagrożenie Roaming Mantis jako Trojan-Banker.AndroidOS.Wroba.
Jak się zabezpieczyć przed wirusem? Po pierwsze zmienić domyślne hasło i login routera i zaktualizować jego oprogramowanie. Do tego warto sprawdzić, czy ustawienia DNS nie zostały zmienione oraz zainstalować dobry antywirus na mobilne i stacjonarne urządzenia.