Roaming Mantis được thiết kế để đánh cắp thông tin người dùng và trao quyền kiểm soát thiết bị hoàn toàn cho kẻ tấn công nhằm giúp tin tặc có thể thu lợi bất chính. Thống kê từ Kaspersky cho biết, Roaming Mantis đã xuất hiện trên hơn 150 mạng lưới từ tháng 2 đến tháng 4 năm nay, chủ yếu tại Hàn Quốc, Bangladesh và Nhật Bản.
Kết quả nghiên cứu của Kaspersky chỉ ra rằng, kẻ đứng sau phần mềm độc hại đang tìm kiếm lỗ hổng trên bộ định tuyến và phát tán phần mềm độc hại theo cách đơn giản nhưng hiệu quả: chiếm quyền kiểm soát DNS của các bộ định tuyến đã bị lây nhiễm. Mặc dù vậy phương pháp thực hiện vẫn còn là ẩn số.
Cũng theo Kaspersky, một khi DNS bị chiếm quyền kiếm soát, mọi cố gắng truy cập từ người dùng đều dẫn họ đến đường link thể hiện nội dung từ máy chủ của kẻ tấn nhằm yêu cầu click vào đường link để buộc người dùng tải về và cài đặt tập tin facebook.apk hoặc chrome.apk - một cửa hậu Android từ hacker.
Roaming Mantis kiểm tra xem thiết bị có được root hay không và yêu cầu quyền được thông báo về bất kỳ hoạt động liên lạc hoặc duyệt web nào do người dùng thực hiện. Nó cũng có khả năng thu thập một loạt dữ liệu, bao gồm cả thông tin xác thực cho xác thực hai yếu tố. Các nhà nghiên cứu nhận thấy rằng một số mã phần mềm độc hại bao gồm các tham chiếu đến ngân hàng di động và ID ứng dụng trò chơi phổ biến ở Hàn Quốc. Những dữ liệu này cho thấy mục đích của chiến dịch là để kiếm tiền.
Trong khi dữ liệu Kaspersky phát hiện khoảng 150 mục tiêu thì phân tích sâu hơn cho thấy hàng nghìn kết nối tấn công vào các máy chủ C&C của kẻ tấn công hằng ngày, chỉ ra một quy mô lớn hơn của chiến dịch.
Roaming Mantis được thiết kế để phát tán rộng khắp châu Á, với các dữ liệu thu thập cho thấy kẻ đứng đằng sau cuộc tấn công này chủ yếu quen thuộc với tiếng Hàn và tiếng Trung giản thể. Các sản phẩm của Kaspersky Lab phát hiện Roaming Mantis dưới tên Trojan-Banker.AndroidOS.Wroba.
Để bảo vệ kết nối internet trước lây nhiễm này, Kaspersky Lab khuyến nghị người dùng nên tham khảo hướng dẫn sử dụng bộ định tuyến để xác minh cài đặt DNS chưa bị can thiệp hoặc liên hệ với ISP để được hỗ trợ; thay đổi tên đăng nhập và mật khẩu mặc định cho giao diện web quản trị của bộ định tuyến; không cài đặt phần mềm bộ định tuyến từ các nguồn bên thứ ba cũng như tránh sử dụng kho lưu trữ của bên thứ ba cho thiết bị Android; và thường xuyên cập nhật firmware bộ định tuyến từ nguồn chính thức.
Bình luận (0)