As descobertas da Kaspersky Lab indicam que os hackers responsáveis pela ameaça Roaming Mantis têm como alvo routers vulneráveis e distribuem o malware através de um simples truque de controlo das definições de DNS dos routers infetados. No entanto, a forma como os comprometem é ainda desconhecida. Assim que o DNS é controlado, qualquer tentativa por parte dos utilizadores de aceder a um website direciona-os para um URL semelhante mas com conteúdos falsos com origem nos servidores dos hackers. Isto inclui a mensagem “Para melhorar a sua experiência de navegação, por favor instale a versão mais atual do Chrome”, o que leva à instalação de uma aplicação trojan, de nome “facebook.apk” ou “chrome.apk”, que contem o backdoor Android dos hackers.

O malware Roaming Mantis verifica, posteriormente, se o dispositivo está rooted e pede permissão para ser notificado sobre qualquer atividade de comunicação ou de navegação do utilizador. O malware tem também a capacidade de recolher uma grande quantidade de dados, incluindo as credenciais para a autentificação de dois fatores. O interesse dos hackers neste detalhe, e o facto de algum do código malware utilizado incluir referências a aplicações bancárias e de jogos para dispositivos móveis populares na Coreia do Sul, sugere um potencial motivo financeiro por trás da campanha.

Expansão dos alvos geográficos e das funcionalidades 

A investigação inicial elaborada pela Kaspersky Lab detetou cerca de 150 alvos, maioritariamente na Coreia do Sul, Bangladesh e Japão, mas revelou igualmente milhares de conexões diárias aos servidores de Comando e Controlo (C2) dos hackers, o que revela uma escala de ataques mais vasta. O malware incluiu ainda apoio em quatro línguas: coreano, chinês simplificado, japonês e inglês.

A área de ataque expandiu-se desde então para 27 línguas, entre as quais a portuguesa, polaca, alemã, árabe, búlgara e russa. Os hackers introduziram também páginas de phishing relacionadas com a Apple, caso o malware se deparasse com um dispositivo iOS. A mais recente adição ao seu arsenal é um website malicioso para computadores que permite a cripto mineração. As observações da Kaspersky Lab sugerem que, pelo menos uma onde mais vasta de ataques já aconteceu, com os investigadores a detetarem mais de 100 alvos entre os clientes da empresa de cibersegurança em poucos dias.

"Quando detetámos o Roaming Mantis pela primeira vez, em abril, tratava-se de uma ameaça ativa e em rápida transformação. Novas provas revelam uma expansão dramática na geografia dos alvos, incluindo atualmente a Europa e o Médio Oriente, entre outros. Acreditamos que os atacantes são hackers em busca de lucros financeiros e encontrámos várias pistas que sugerem que falam chinês ou coreano. Há uma clara e considerável motivação por trás desta ameaça, pelo que é pouco provável de diminua nos próximos tempos. A utilização de routers infetados e a tomada de controlo de DNS revela a necessidade de uma forte proteção de dispositivos, bem como a utilização de conexões seguras,” afirma Suguru Ishimaru, Investigador de Segurança na Kaspersky Lab Japão.

Os produtos da Kaspersky Lab detetam a ameaça Roaming Mantis como “Trojan-Banker.AndroidOS.Wroba”.

De forma a proteger as conexões de internet desta ameaça, a Kaspersky Lab recomenda:

  • Consultar o manual de utilizador do router para garantir que as definições de DNS não foram alteradas ou, em alternativa, contactar o fornecedor de internet.
  • Alterar a palavra-passe de acesso à interface de administrador do router e atualizar com regularidade o firmware do mesmo a partir de fontes oficiais.
  • Nunca instalar firmware para o router a partir de fontes de terceiros e evitar também a utilização de repositórios de terceiros para dispositivos Android.
  • Verificar sempre os endereços dos motores de busca e de websites para garantir a legitimidade dos mesmos; procurar pelo https aquando da inserção de informações.
  • Considerar a instalação de uma segurança móvel como a solução Kaspersky Internet Security for Android, para proteger os dispositivos destas e de outras ameaças.

Para mais informações sobre a ameaça Roaming Mantis, visitar o website em Securelist

Classifique este item
(0 votos)
Ler 759 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico.

O nome Wintech surge com o objetivo de apresentar conteúdos relacionados com o Windows (Win) e também com tecnologia (tech).

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top