較早前報導過的惡意程式 Roaming Mantis (漫遊螳螂) ,原本只集中攻擊亞洲地區,但是在短短一個月之內,研究人員已經發現其進行惡意行為的網站已經新增二十多種語言,而且新增攻擊 iOS 和利用桌面電腦為自己挖礦的手段,威脅急速漫延至全球。
入侵路由器騎劫 DNS
Roaming Mantis 原本是利用入侵路由器的方式,感染 Android 的智能電話和平板裝置,現在仍然是透過騎劫 DNS 的手段引導 iOS 裝置到釣魚網站盜取個人資料,也懂得在 PC 之上執行 CoinHive 挖礦。
路由器被騎劫 DNS 的用戶,當在瀏覽器輸入網止時,並不用被帶到原有正常的 IP 地址,而是經由惡意的 DNS 被引導到由黑客預設的惡意網站,由於用戶在瀏覽器上仍然看見正常的網址,所以當網站要求更新應用程式或安裝軟件時,用戶不虞有詐便容易墜入陷阱。
Roaming Mantis 攻擊 Android 時
當 Android 用戶被引導到惡意網站時,會假意建意用戶更新瀏覽器或 Facebook,引誘安裝 Chrome.apk 或 facebook.apk,並且要求取得大量權限,包括取得帳號資料、收發 SMS、撥打電話、錄音、取存檔案和以自己的視窗覆蓋其他應用程式等等,如果用戶只以為是更新瀏覽器便安裝,就會進入下一個階段,由於惡意程式已取得權限找出裝置的 Google 帳號,下一步就會在畫面中顯示用戶的帳號有錯誤,要求重新登入,而該網頁則要求用戶輸入他們的姓名和生日日期,取得以上全部資料後,惡意程式就能夠截取用戶的雙重認證功能,盜取用戶的 Google 帳號。
攻擊 iOS、挖礦、漫延全球
在 Roaming Mantis 剛出現的時候,它可以顯示的語言只有英文、韓文、中文和日文,但是現時已增加了德文、捷克文、印尼文、意大利文、葡萄牙文、俄文、西班牙文、泰文、土耳其文等等二十多國語言,黑客也改良了惡意程式,令它能夠攻擊 iOS 的裝置,不過過程就略帶不同。在 iOS 裝置上 Roaming Mantis 將會跳過下載塵用程式,取而代之是惡意網站顯示釣魚網頁,要求用戶登入 App Store,為了增加可信性,網址更顯示為 security.apple.com,黑客也不滿足於盜取 Apple ID,下一步更直接要求輸入信用卡資料。
另一項進代是當發現用戶正在使用 PC 的時候,Roaming Mantis 便會勢行 CoinHive 挖礦編碼,取得的虛擬貨幣直接進入黑客的虛擬錢包,而受害者的電腦將會以 100% 資源進行挖礦,令系統其他操作變得緩慢,同時消耗大量電力。
Roaming Mantis 的防護
– 在所有裝置上安全防毒軟件,包括智能手機和平板電腦。
– 定期更新裝置上的軟件
– 在 Android 裝置上關閉在不明來源安裝應用程式的選項 (Setting > Security > Unknown sources)
– 從官方渠道下載和更新路由器的韌體
– 更改路由器的預設管理員密碼
不幸被 Roaming Mantis 感染的對策
Kaspersky Lab 的產品已經能夠偵測和清除 Roaming Mantis,所以用戶首先是安裝有效的防毒軟件到所有裝置和執行病毒掃瞄,當清除了惡意程式之後,用戶應該進行以下動作以免再次受到感染:
– 更改被感染裝置上的帳號密碼,取消所有曾輸入資料的信用卡。
– 改更路由器的管理員密碼和更新韌體,確保從官網下載相關檔案。
– 檢查路由器的 DNS 伺服器地址是否正確,相關資料可以從 ISP 的網站找到。(使用安全的系統進行檢查)