Roaming Mantis взламывает роутеры и атакует пользователей Android

Roaming Mantis взламывает роутеры и атакует пользователей Android

Roaming Mantis взламывает роутеры и атакует пользователей Android

«Лаборатория Касперского» обнаружила угрозу, которая активно распространяется по миру через взломанные роутеры. Зловред, получивший название Roaming Mantis, изначально атаковал пользователей Android в Азии с целью сбора данных.

Сейчас же злоумышленники добавили в него «поддержку» уже 27 различных языков, распространённых на Ближнем Востоке и в Европе, в том числе русский. Кроме того, атакующие теперь разработали и дополнительный фишинговый модуль для iOS-устройств, а также внедряют скрытый скрипт-майнер криптовалют (Coinhive/Monero) в случае выхода в сеть с ПК.

Изначальной целью атакующих были конфиденциальные данные, в частности используемые для двухфакторной аутентификации, например, для доступа к Google-аккаунтам жертв. Roaming Mantis даёт злоумышленникам полный контроль над заражённым устройством, поэтому они могут собирать любую интересующую их информацию. Как полагают эксперты «Лаборатории Касперского», за этим, скорее всего, стоят китайско- или корейскоговорящие киберпрестпуники.

В начале своей «карьеры» Roaming Mantis атаковал, по подсчётам аналитиков «Лаборатории Касперского», около 150 пользователей – преимущественно в Южной Корее, Бангладеш и Японии. После расширения возможностей зловреда эксперты зарегистрировали ещё более 100 попыток атак. В то же время на серверах злоумышленников ежедневно фиксируются тысячи соединений, что может говорить о более широком масштабе заражений.

Распространяется Roaming Mantis с помощью техники подмены DNS (системы доменных имён). Зловред ищет уязвимые роутеры и меняет их настройки DNS. Метод компрометации роутеров до сих пор остаётся неизвестным. Однако в случае успешного взлома и подмены настроек любая попытка пользователя перейти на какой-либо сайт будет заканчиваться тем, что он окажется на фальшивой странице, созданной злоумышленниками.

Страница эта будет показывать жертве сообщение с предложением установить последнюю версию браузера (например, Google Chrome) для перехода на запрошенную страницу. Если человек согласится и его настройки системы разрешают установку приложений из сторонних источников, то это автоматически запустит установку троянского приложения, содержащего бэкдор для Android.

Если это пользователь с iOS – то его направят на фишинговую страницу, а если ПК – то внедрят майнер криптовалют.

«Впервые мы предупредили наших пользователей о Roaming Mantis в апреле этого года, и уже тогда было понятно, что угроза будет развиваться очень быстро. Спустя месяц мы видим, что так оно и происходит. Злоумышленники очевидно ищут большей финансовой выгоды и готовы ради этого расширять и модифицировать возможности своего главного инструмента. И тот факт, что для распространения зловреда атакующие взламывают роутеры и меняют их настройки, в очередной раз демонстрирует необходимость комплексной защиты всех устройств, а не только традиционных ПК и смартфонов», – отметил Сугуру Ишимару (Suguru Ishimaru), антивирусный эксперт «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Для Google Password Manager готовят поддержку импорта-экспорта passkey

В Google проводят работы по реализации импорта-экспорта ключей доступа passkey. Разбор кода новейшей версии Google Play Services (25.13.31 бета) показал, что такая возможность вскоре появится в менеджере паролей для Android.

Поддержка экспорта паролей в Google Password Manager уже есть, теперь ее, видимо расширят, охватив также passkey.

Эта технология беспарольной защиты имеет серьезное ограничение: ключи привязаны к определенному устройству, и при замене девайса пользователям приходится вручную отвязывать их от каждого сервиса, а затем заново регистрировать.

Участники альянса FIDO озаботились решением проблемы и в прошлом году опубликовали рабочую версию стандарта безопасной передачи passkey при смене платформы или сервиса.

Эти спецификации, по всей видимости, и взяла на вооружение Google. Возможность экспорта passkey, хранимых в Google Password Manager, позволит владельцу Android-гаджета с легкостью перенести их, к примеру, в iCloud Keychain, когда ему сюрпризом презентовали iPhone.

Наличие такого механизма также снижает риск потери доступа к аккаунту в случае кражи девайса: ключи можно будет восстановить из заранее созданных резервных копий.

Один из фрагментов кода бета-версии Google Play Services 25.13.31 содержит строки, свидетельствующие о расширении функциональности импорта Google Password Manager: он теперь будет блокировать экспорт passkey в ненадежные приложения во избежание злоупотреблений и выводить соответствующее предупреждение.

<code>&lt;string name="pwm_export_credentials_blocked_importer_message"&gt;Export blocked for your protection&lt;/string&gt;
&lt;string name="pwm_export_credentials_blocked_importer_sub_message"&gt;The password manager you’re trying to export to doesn’t follow best practices&lt;/string&gt;</code>

Сроки развертывания нововведения, способного еще больше расширить Google-аудиторию поклонников passkey, пока не оглашены. В прошлом году техногигант с той же целью реализовал кроссплатформенную поддержку passkey для пользователей Chrome.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru