Pesquisadores de segurança têm alertado sobre uma campanha de malware em andamento que seqüestra roteadores de Internet para distribuir malware bancário Android que rouba informações confidenciais de usuários, credenciais de login e o código secreto para autenticação de dois fatores.
A fim de enganar as vítimas para instalar o malware Android, apelidado de Roaming Mantis, os hackers têm seqüestrado as configurações de DNS em roteadores vulneráveis e mal garantidos.
O ataque de sequestro de DNS permite que hackers interceptem o tráfego, insiram anúncios suspeitos em páginas da web e redirecionam os usuários para páginas de phishing destinadas a induzi-los a compartilhar informações confidenciais, como credenciais de login, detalhes de contas bancárias e muito mais.
O DNS dos roteadores sequestrados para fins mal-intencionados não é novo. Anteriormente, informamos sobre DNSChanger e Switcher generalizados – o malware funcionava alterando as configurações de DNS dos roteadores sem fio para redirecionar o tráfego para sites mal-intencionados controlados por invasores.
Descoberta por pesquisadores de segurança da Kaspersky Lab, a nova campanha de malware tem sido alvo principalmente de usuários em países asiáticos, incluindo Coréia do Sul, China, Bangladesh e Japão, desde fevereiro deste ano.
Depois de modificadas, as configurações de DNS desonestos configuradas por hackers redirecionam as vítimas para versões falsas de sites legítimos que eles tentam visitar e exibem uma mensagem de aviso pop-up que diz: “Para aproveitar melhor a navegação, atualize para a versão mais recente do Google Chrome”.
Em seguida, faz o download do aplicativo de malware Roaming Mantis disfarçado de aplicativo navegador Chrome para Android, que obtém permissão para coletar informações de conta do dispositivo, gerenciar SMS / MMS e fazer chamadas, gravar áudio, controlar armazenamento externo, verificar pacotes, trabalhar com sistemas de arquivos sobreposição de janelas e assim por diante.
“O redirecionamento levou à instalação de aplicativos trojanizados chamados facebook.apk e chrome.apk que continham o Android Trojan-Banker.”
Se instalado, o aplicativo malicioso sobrepõe todas as outras janelas imediatamente para mostrar uma mensagem de aviso falsa (em inglês corrompido), que diz: “Conta não existe riscos, use após a certificação”.
O Roaming Mantis, em seguida, inicia um servidor da Web local no dispositivo e inicia o navegador da Web para abrir uma versão falsa do site do Google, solicitando que os usuários preencham seus nomes e data de nascimento.
Para convencer os usuários a acreditar que eles estão entregando essas informações ao próprio Google, a página falsa exibe o ID de e-mail do Gmail dos usuários configurado em seu dispositivo Android infectado, conforme mostrado nas capturas de tela.
“Depois que o usuário digita seu nome e data de nascimento, o navegador é redirecionado para uma página em branco em http://127.0.0.1:${random_port}/submit”, disseram os pesquisadores. “Assim como a página de distribuição, o malware suporta quatro locais: coreano, chinês tradicional, japonês e inglês.”
Como o aplicativo de malware Roaming Mantis já obteve permissão para ler e gravar SMS no dispositivo, ele permite que invasores roubem o código de verificação secreta da autenticação de dois fatores para as contas das vítimas.
Ao analisar o código de malware, os pesquisadores encontraram referências a populares aplicativos bancários e de jogos móveis sul-coreanos, bem como a uma função que tenta detectar se o dispositivo infectado está enraizado.
“Para os invasores, isso pode indicar que um dispositivo pertence a um usuário avançado do Android (um sinal para parar de mexer no dispositivo) ou, alternativamente, uma chance de aproveitar o acesso à raiz para obter acesso a todo o sistema”, disseram os pesquisadores.
O que é interessante sobre esse malware é que ele usa um dos principais sites de mídia social chinesa (my.tv.sohu.com) como seu servidor de comando e controle e envia comandos para os dispositivos infectados apenas por meio da atualização dos perfis de usuários controlados pelo invasor.
De acordo com os dados da Telemetria da Kaspersky, o malware Roaming Mantis foi detectado mais de 6.000 vezes, embora os relatórios provenham de apenas 150 usuários únicos.
É aconselhável garantir que seu roteador esteja executando a versão mais recente do firmware e protegido por uma senha forte.
Você também deve desativar o recurso de administração remota do roteador e codificar um servidor DNS confiável nas configurações de rede do sistema operacional.
Pesquisadores de segurança têm alertado sobre uma campanha de malware em andamento que seqüestra roteadores de Internet para distribuir malware bancário Android que rouba informações confidenciais de usuários, credenciais de login e o código secreto para autenticação de dois fatores.
A fim de enganar as vítimas para instalar o malware Android, apelidado de Roaming Mantis, os hackers têm seqüestrado as configurações de DNS em roteadores vulneráveis e mal garantidos.
O ataque de sequestro de DNS permite que hackers interceptem o tráfego, insiram anúncios suspeitos em páginas da web e redirecionam os usuários para páginas de phishing destinadas a induzi-los a compartilhar informações confidenciais, como credenciais de login, detalhes de contas bancárias e muito mais.
O DNS dos roteadores sequestrados para fins mal-intencionados não é novo.Anteriormente, informamos sobre DNSChanger e Switcher generalizados – o malware funcionava alterando as configurações de DNS dos roteadores sem fio para redirecionar o tráfego para sites mal-intencionados controlados por invasores.
Descoberta por pesquisadores de segurança da Kaspersky Lab, a nova campanha de malware tem sido alvo principalmente de usuários em países asiáticos, incluindo Coréia do Sul, China, Bangladesh e Japão, desde fevereiro deste ano.
Depois de modificadas, as configurações de DNS desonestos configuradas por hackers redirecionam as vítimas para versões falsas de sites legítimos que eles tentam visitar e exibem uma mensagem de aviso pop-up que diz: “Para aproveitar melhor a navegação, atualize para a versão mais recente do Google Chrome”.
Em seguida, faz o download do aplicativo de malware Roaming Mantis disfarçado de aplicativo navegador Chrome para Android, que obtém permissão para coletar informações de conta do dispositivo, gerenciar SMS / MMS e fazer chamadas, gravar áudio, controlar armazenamento externo, verificar pacotes, trabalhar com sistemas de arquivos sobreposição de janelas e assim por diante.
“O redirecionamento levou à instalação de aplicativos trojanizados chamados facebook.apk e chrome.apk que continham o Android Trojan-Banker.”
Se instalado, o aplicativo malicioso sobrepõe todas as outras janelas imediatamente para mostrar uma mensagem de aviso falsa (em inglês corrompido), que diz: “Conta não existe riscos, use após a certificação”.
O Roaming Mantis, em seguida, inicia um servidor da Web local no dispositivo e inicia o navegador da Web para abrir uma versão falsa do site do Google, solicitando que os usuários preencham seus nomes e data de nascimento.
Para convencer os usuários a acreditar que eles estão entregando essas informações ao próprio Google, a página falsa exibe o ID de e-mail do Gmail dos usuários configurado em seu dispositivo Android infectado, conforme mostrado nas capturas de tela.
“Depois que o usuário digita seu nome e data de nascimento, o navegador é redirecionado para uma página em branco em http://127.0.0.1:${random_port}/submit”, disseram os pesquisadores. “Assim como a página de distribuição, o malware suporta quatro locais: coreano, chinês tradicional, japonês e inglês.”
Como o aplicativo de malware Roaming Mantis já obteve permissão para ler e gravar SMS no dispositivo, ele permite que invasores roubem o código de verificação secreta da autenticação de dois fatores para as contas das vítimas.
Ao analisar o código de malware, os pesquisadores encontraram referências a populares aplicativos bancários e de jogos móveis sul-coreanos, bem como a uma função que tenta detectar se o dispositivo infectado está enraizado.
“Para os invasores, isso pode indicar que um dispositivo pertence a um usuário avançado do Android (um sinal para parar de mexer no dispositivo) ou, alternativamente, uma chance de aproveitar o acesso à raiz para obter acesso a todo o sistema”, disseram os pesquisadores.
O que é interessante sobre esse malware é que ele usa um dos principais sites de mídia social chinesa (my.tv.sohu.com) como seu servidor de comando e controle e envia comandos para os dispositivos infectados apenas por meio da atualização dos perfis de usuários controlados pelo invasor.
De acordo com os dados da Telemetria da Kaspersky, o malware Roaming Mantis foi detectado mais de 6.000 vezes, embora os relatórios provenham de apenas 150 usuários únicos.
É aconselhável garantir que seu roteador esteja executando a versão mais recente do firmware e protegido por uma senha forte.
Você também deve desativar o recurso de administração remota do roteador e codificar um servidor DNS confiável nas configurações de rede do sistema operacional.