Kaspersky Lab v polovině dubna objevila nový malware zaměřený na zařízení s operačním systémem Android. Ohroženi mohou být i čeští uživatelé, protože malware nově podporuje mimo jiné i češtinu. Novou zbraní tohoto malwaru je i schopnost nelegálně těžit kryptoměny na pevných počítačích. Tato kampaň, pojmenovaná Roaming Mantis, je navržená tak, aby jejím prostřednictvím hackeři získali citlivé údaje uživatelů a plnou kontrolu nad jejich zařízeními.
Metoda útoku
Podle zjištění odborníků Kaspersky Lab zločinci zodpovědní za Roaming Mantis zneužívají zranitelnosti routerů. Zařízení infikují malwarem pomocí velmi jednoduchého, ale efektivního podvodu, kdy se zmocní nastavení DNS infikovaných routerů. Jakou konkrétní metodu využívají k napadení routerů zatím není zcela jasné. Jakmile kyberzločinci získají přístup k DNS, začne webový prohlížeč přesměrovávat uživatele na věrohodně vypadající webovou stránku s podvodným obsahem. Ta formou upozornění nabádá uživatele, aby si stáhli nejaktuálnější verzi Chrome prohlížeče. Pokud uživatelé na odkaz kliknou, stáhne se jim aplikace nazvaná „facebook.apk“ nebo „chrome.apk“, která obsahuje trojského koně a backdoor útočníků do zařízení s OS Android.
Malware Roaming Mantis také kontroluje, jestli došlo k rootování zařízení a případně požaduje upozornění na jakoukoliv uživatelovu komunikaci nebo vyhledávání na internetu. Zároveň je schopný shromažďovat velké množství dat včetně přihlašovacích údajů pro dvoufázovou autentizaci. Tento fakt, spolu s částí malwarového kódu, který odkazuje na ID oblíbených jihokorejských herních a online-bankingových aplikací, dává tušit, že jsou hlavní motivací kyberzločinců peníze.
Nové cíle a schopnosti
Záběr útočníků se ale v průběhu čtyř týdnů rapidně rozšířil. Počet podporovaných jazyků vzrostl na 27, včetně češtiny, polštiny, němčiny, arabštiny nebo ruštiny. Pokud se malware setká se zařízením s iOS, snaží se uživatele přesměrovat na phishingové stránky s obsahem o společnosti Apple. Jako nejnovější zbraň používají hackeři podvodnou stránku, která je schopná do pevných počítačů stáhnout malware pro nelegální těžení kryptoměn.
Pro ochranu vašeho internetového připojení doporučuje Kaspersky Lab následující kroky:
• Ověřte podle manuálu k vašemu routeru, zda nebylo poškozeno nastavení DNS, nebo se obraťte na svého poskytovatele internetových služeb.
• Změňte výchozí přihlašovací jméno a heslo administrátorského rozhraní routeru a pravidelně aktualizujte jeho firmware z oficiálního zdroje.
• Nikdy neinstalujte firmware z jiných zdrojů. Nepoužívejte úložiště třetích stran pro zařízení Android.
• Vždy zkontrolujte adresy prohlížeče a webových stránek, abyste se ujistili, že jsou legitimní; při požadavku na zadání dat hledejte znaky jako https.
• Zvažte instalaci mobilního řešení zabezpečení, jako je například Kaspersky Internet Security for Android, abyste chránili vaše zařízení před těmito a dalšími hrozbami.