卡巴斯基尝试室全球研究和阐发团队(GReAT)亚太区总监VitalyKamluk暗示:“日本的一家媒体比来报道了此次攻击事务,可是在我们稍微进行了一些研究后发觉,这种要挟并非发源自日本。现实上,我们发觉了多个线索,表白这种要挟幕后的攻击者说的是中文或韩语。不只如斯,大大都受害者也不在日本。Roaming Mantis似乎次要针对韩国的用户,日本受害者似乎是某种附带风险。
卡巴斯基尝试室的发觉表白这种恶意软件背后的攻击者寻找易受攻击的路由器进行攻击,通过一种很是简单却无效的劫持受传染路由器DNS设置的手段传布这种恶意软件。攻击者入侵路由器的方式仍然未知。一旦DNS被成功劫持,用户拜候任何网站的行为城市指向一个看上去实在的URL地址,此中的内容是伪造的,而且来自攻击者的办事器。这些地址会要求用户“为了获得更好的浏览体验,请升级到最新版Chrome。”点击链接会启动被植入木马的使用被安装,这些被传染的使用凡是被定名为“facebook.apk”或“chrome.apk”,此中包含攻击者的安卓后门法式。
Roaming Mantis恶意软件会查抄设备能否被root,并请求获得相关用户进行的任何通信或浏览勾当通知的权限。它还能收集多种数据,包罗两步验证凭证。研究人员发觉一些恶意软件代码提到了韩国常见的手机银行和游戏使用法式ID。分析起来,这些迹象表白此次攻击步履的目标可能是为了获得经济好处。
卡巴斯基尝试室的检测数据发觉了约150个被攻击方针,进一步阐发还发觉平均每天无数千个对攻击者号令和节制(C2)办事器的毗连,表白攻击的规模该当更大。
Roaming Mantis恶意软件的设想表白其是为了在亚洲地域进行普遍的传布。此外,它支撑四种言语,别离为韩语、简体中文、日语和英语。可是,我们收集到的证据显示这起攻击幕后的要挟者最通晓的是韩语和简体中文。
卡巴斯基尝试室日本平安研究员Suguru Ishimaru说:“Roaming Mantis是一个活跃而且敏捷变化的要挟。所以我们此刻就颁发了相关发觉,而没有比及找到所有谜底后再发布。此次的攻击似乎有相当大的动机,我们需要提高用户的防备认识,让人们和企业可以或许更好地识别这种要挟。此次攻击利用了受传染的路由器以及劫持DNS的手段,表白采用强大的设备庇护和平安毗连的需要性”
●请参阅您的路由器的利用申明,确保您的DNS设置没有被更改,或者联系您的互联网办事供给商(ISP)寻求支撑。
●不要从第三方来历安装路由器固件。不要为您的安卓设备利用第三方软件来历。