Roaming Mantis 通过 DNS 劫持攻击亚洲的智能手机

卡巴斯基实验室的研究人员发现一种最新的通过域名系统( DNS )劫持技术传播的安卓恶意软件，其主要攻击目标为亚洲地区的智能手机。这种攻击行动被称为 Roaming Mantis，目前仍然非常活跃，其攻击目的是窃取包括凭证在内的用户信息，从而让攻击者可以完全控制被感染的安卓设备。2018 年 2 月至 4 月期间，研究人员在超过 150 个用户网络中检测到这种恶意软件，主要受害者位于韩国、孟加拉国和日本，而且受害者可能更多。研究人员认为这次攻击行动的幕后应该有一个网络犯罪组织，其目的应该是为了获利。

  卡巴斯基实验室全球研究和分析团队(GReAT)亚太区总监 Vitaly Kamluk 表示：“日本的一家媒体最近报道了这次攻击事件，但是在我们稍微进行了一些研究后发现，这种威胁并非起源自日本。事实上，我们发现了多个线索，表明这种威胁幕后的攻击者说的是中文或韩语。不仅如此，大多数受害者也不在日本。Roaming Mantis 似乎主要针对韩国的用户，日本受害者似乎是某种附带危害。

  卡巴斯基实验室的发现表明这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击，通过一种非常简单却有效的劫持受感染路由器 DNS 设置的手段传播这种恶意软件。攻击者入侵路由器的方法仍然未知。一旦 DNS 被成功劫持，用户访问任何网站的行为都会指向一个看上去真实的 URL 地址，其中的内容是伪造的，并且来自攻击者的服务器。这些地址会要求用户“为了获得更好的浏览体验，请升级到最新版 Chrome。”点击链接会启动被植入木马的应用被安装，这些被感染的应用通常被命名为“ facebook.apk ”或“ chrome.apk ”，其中包含攻击者的安卓后门程序。

  Roaming Mantis 恶意软件会检查设备是否被 root，并请求获得有关用户进行的任何通信或浏览活动通知的权限。它还能收集多种数据，包括两步验证凭证。研究人员发现一些恶意软件代码提到了韩国常见的手机银行和游戏应用程序 ID。综合起来，这些迹象表明这次攻击行动的目的可能是为了获得经济利益。

  卡巴斯基实验室的检测数据发现了约 150 个被攻击目标，进一步分析还发现平均每天有数千个对攻击者命令和控制( C2 )服务器的连接，表明攻击的规模应该更大。

  Roaming Mantis 恶意软件的设计表明其是为了在亚洲地区进行广泛的传播。此外，它支持四种语言，分别为韩语、简体中文、日语和英语。但是，我们收集到的证据显示这起攻击幕后的威胁者最精通的是韩语和简体中文。

  卡巴斯基实验室日本安全研究员 Suguru Ishimaru 说：“ Roaming Mantis 是一个活跃并且迅速变化的威胁。所以我们现在就发表了相关发现，而没有等到找到所有答案后再发布。这次的攻击似乎有相当大的动机，我们需要提高用户的防范意识，让人们和企业能够更好地识别这种威胁。这次攻击使用了受感染的路由器以及劫持 DNS 的手段，表明采用强大的设备保护和安全连接的必要性”

  卡巴斯基实验室产品将这种威胁检测为“ Trojan-Banker.AndroidOS.Wroba ”。

  为了保护您的互联网连接不受感染，卡巴斯基实验室建议采取以下措施：

  ● 请参阅您的路由器的使用说明，确保您的 DNS 设置没有被更改，或者联系您的互联网服务提供商(ISP)寻求支持。

  ● 更改路由器管理界面的默认登录名和密码。

  ● 不要从第三方来源安装路由器固件。不要为您的安卓设备使用第三方软件来源。

  ● 定期从路由器的官方升级您的路由器固件。