«Лаборатория Касперского» обнаружила угрозу, которая активно распространяется по миру через взломанные роутеры. Roaming Mantis изначально атаковал пользователей Android в Азии с целью сбора данных. Сейчас же злоумышленники добавили в него «поддержку» новых языков, разработали дополнительный фишинговый модуль для iOS-устройств, а также внедряют скрытый скрипт-майнер криптовалют (Coinhive/Monero) в случае выхода в сеть с ПК.
Roaming Mantis даёт злоумышленникам полный контроль над заражённым устройством, поэтому они могут собирать любую интересующую их информацию. На серверах злоумышленников ежедневно фиксируются тысячи соединений, что может говорить о расширяющемся масштабе заражений.
Распространяется Roaming Mantis с помощью техники подмены DNS (системы доменных имён). Вредоносная программа ищет уязвимые роутеры и меняет их настройки DNS. Метод компрометации роутеров до сих пор остаётся неизвестным. Однако в случае успешного взлома и подмены настроек любая попытка пользователя перейти на какой-либо сайт будет заканчиваться тем, что он окажется на фальшивой странице, созданной злоумышленниками.
Страница показывает сообщение с предложением установить последнюю версию браузера (например, Google Chrome). В случае установки инсталлируется троян, содержащий бэкдор для Android. Если это пользователь с iOS, то его направят на фишинговую страницу, а если ПК – внедрят майнер криптовалют. Впервые о Roaming Mantis стало известно в апреле этого года. Теперь злоумышленники очевидно ищут большей финансовой выгоды и готовы ради этого расширять и модифицировать возможности своего инструмента.
Вредоносная программа детектируется антивирусами как Trojan-Banker.AndroidOS.Wroba. Чтобы не стать жертвой подобной угрозы, «Лаборатория Касперского» рекомендует пользователям: проверить подлинность настроек DNS в своём роутере (с помощью инструкции или интернет-провайдера); изменить логин и пароль, установленные на роутере производителем, и регулярно обновлять программное обеспечение устройства из официальных источников; никогда не устанавливать ПО из ненадёжных источников; проверять подлинность браузера и веб-сайта, а прежде чем вводить какие-либо данные, убедиться в защищённости страницы.