Há algum tempo, nossos especialistas investigaram um malware que chamaram de Roaming Mantis. Naquele momento, os alvos principais eram usuários no Japão, Coreia, China, Índia e Bangladesh -por isso, não o discutimo no contexto de outras regiões.
Entretanto, no mês após a publicação do relatório, o malware aprendeu outras duas dezenas de língua e se lançou ao redor do mundo.
Ao utilizar roteadores comprometidos para afetar smartphones e tablets com Android, o Mantis redireciona dispositivos iOS para sites de phishing, executa scripts de cryptomining em computadores de mesa e laptops. Isso é feito por meio de sequestro de DNS, o que torna difícil para os usuários detectarem o problema.
Então, a primeira coisa feita pelo navegador quando um URL é digitado é enviar a requisição ao que chamamos de servidor DNS (sigla em inglês para Domain Name System, ou Sistema de Nome de Domínio), que traduz o nome “humano” em um endereço de IP que corresponde ao site.
O sequestro de DNS é uma forma de enganar o navegador ao pensar que encontrou o domínio para um certo IP, embora isso não seja verdade. Mesmo que o endereço IP esteja errado, a URL original digitada pelo usuário é exibida na barra de endereço, então nada parece suspeito.
Há muitas técnicas de sequestro de DNS, mas os criadores do Roaming Mantis escolheram talvez a mais simples e efetiva: sequestram as configurações dos roteadores comprometidos, o que os força a usar seu próprio servidor DNS. Isso significa que seja lá o que for digitado no navegador de um dispositivo conectado ao roteador leva usuário a um site malicioso.
O malware requisita diversas permissões de hospedeiro durante a instalação de processos, o que inclui direitos de acesso aos arquivos e informações de conta, envio/recebimento de SMS, chamadas de voz, gravações de áudio, sobreposição de tela, entre outros. Em um aplicativo confiável como o Google Chrome, uma lista dessas não parece suspeita – se o usuário considerar essa “atualização” legítima, provavelmente concederá a permissão sem sequer ler a lista.
Depois que o aplicativo é instalado, utiliza o direito de acesso à lista de contatos para descobrir qual conta do Google é usada no dispositivo. A seguir, o usuário visualiza uma mensagem (aparece no topo de todas as janelas abertas, afinal o malware também pediu essa permissão) ao dizer que há algo de errado em sua conta e serão necessárias as informações de acesso novamente. Uma página abre e solicita o nome e data de nascimento do usuário.
Esses dados, juntamente com as permissões de SMS, fornecem acesso a um código de uso único necessário para autenticação de dois fatores, os quais são usados para roubar a conta do Google.
Já que estavam na missão de melhorar o Roaming Mantis, os criminosos o ensinaram a rodar no iOS. Trata-se de um cenário diferente do Android. Ele pula o download do aplicativo e exibe uma página de phishing que impele o usuário a logar na App Store. Para favorecer a credibilidade, a barra de endereço exibe o endereço confortante security.apple.com.
Os cibercriminosos não se limitam a roubar credenciais da Apple ID. Imediatamente depois de inserir os dados, é pedido ao usuário entrar com seu número de cartão de crédito:
A terceira inovação descoberta por nossos especialistas diz respeito aos computadores de mesa e laptops. Nesses dispositivos, o Roaming Mantis executa o script de mining CoinHive, que minera criptomoedas direto para os bolsos dos criadores do malware. O computador da vítima tem seu processador impelido a operar em máxima capacidade, o que força o sistema a desacelerar e a gastar mais energia.
Mais detalhes sobre o Roaming Mantis podem ser encontrados no relatório original e em um artigo do Securelist com informações atualizadas sobre o malware.
Entretanto, no mês após a publicação do relatório, o malware aprendeu outras duas dezenas de língua e se lançou ao redor do mundo.
Ao utilizar roteadores comprometidos para afetar smartphones e tablets com Android, o Mantis redireciona dispositivos iOS para sites de phishing, executa scripts de cryptomining em computadores de mesa e laptops. Isso é feito por meio de sequestro de DNS, o que torna difícil para os usuários detectarem o problema.
O que é o sequestro de DNS?
Quando você digita o nome de um site na barra de endereço do seu navegador, o programa não envia uma requisição neste formato para o site. A internet opera com endereços IP, que são números, ao passo que nomes de domínio com letras são para pessoas, afinal são mais fáceis de lembrar e inserir.Então, a primeira coisa feita pelo navegador quando um URL é digitado é enviar a requisição ao que chamamos de servidor DNS (sigla em inglês para Domain Name System, ou Sistema de Nome de Domínio), que traduz o nome “humano” em um endereço de IP que corresponde ao site.
O sequestro de DNS é uma forma de enganar o navegador ao pensar que encontrou o domínio para um certo IP, embora isso não seja verdade. Mesmo que o endereço IP esteja errado, a URL original digitada pelo usuário é exibida na barra de endereço, então nada parece suspeito.
Há muitas técnicas de sequestro de DNS, mas os criadores do Roaming Mantis escolheram talvez a mais simples e efetiva: sequestram as configurações dos roteadores comprometidos, o que os força a usar seu próprio servidor DNS. Isso significa que seja lá o que for digitado no navegador de um dispositivo conectado ao roteador leva usuário a um site malicioso.
Roaming Mantis no Android
Depois que o usuário foi redirecionado para um site malicioso, tende-se a querer atualizar o software. Isso leva ao download do app malicioso chrome.apk (havia outra versão com o nome facebook.apk).O malware requisita diversas permissões de hospedeiro durante a instalação de processos, o que inclui direitos de acesso aos arquivos e informações de conta, envio/recebimento de SMS, chamadas de voz, gravações de áudio, sobreposição de tela, entre outros. Em um aplicativo confiável como o Google Chrome, uma lista dessas não parece suspeita – se o usuário considerar essa “atualização” legítima, provavelmente concederá a permissão sem sequer ler a lista.
Depois que o aplicativo é instalado, utiliza o direito de acesso à lista de contatos para descobrir qual conta do Google é usada no dispositivo. A seguir, o usuário visualiza uma mensagem (aparece no topo de todas as janelas abertas, afinal o malware também pediu essa permissão) ao dizer que há algo de errado em sua conta e serão necessárias as informações de acesso novamente. Uma página abre e solicita o nome e data de nascimento do usuário.
Esses dados, juntamente com as permissões de SMS, fornecem acesso a um código de uso único necessário para autenticação de dois fatores, os quais são usados para roubar a conta do Google.
Roaming Mantis: turnê mundial, estreia no iOS e mining
No começo, o Roaming Mantis sabia como exibir mensagens em quatro línguas: inglês, coreano, chinês e japonês. Mas ao longo de sua evolução, seus criadores decidiram expandir e torna-lo poliglota, acrescentando mais de 20 línguas, incluindo o Português.Já que estavam na missão de melhorar o Roaming Mantis, os criminosos o ensinaram a rodar no iOS. Trata-se de um cenário diferente do Android. Ele pula o download do aplicativo e exibe uma página de phishing que impele o usuário a logar na App Store. Para favorecer a credibilidade, a barra de endereço exibe o endereço confortante security.apple.com.
Os cibercriminosos não se limitam a roubar credenciais da Apple ID. Imediatamente depois de inserir os dados, é pedido ao usuário entrar com seu número de cartão de crédito:
A terceira inovação descoberta por nossos especialistas diz respeito aos computadores de mesa e laptops. Nesses dispositivos, o Roaming Mantis executa o script de mining CoinHive, que minera criptomoedas direto para os bolsos dos criadores do malware. O computador da vítima tem seu processador impelido a operar em máxima capacidade, o que força o sistema a desacelerar e a gastar mais energia.
Mais detalhes sobre o Roaming Mantis podem ser encontrados no relatório original e em um artigo do Securelist com informações atualizadas sobre o malware.
Como se proteger do Roaming Mantis?
- Faça uso de antivírus em todos dispositivos: não apenas computadores e laptops, mas smartphones e tablets.
- Atualize com frequência todos os softwares instalados em seus dispositivos.
- Em dispositivos Android, desabilite a instalação de softwares de fontes desconhecidas. Para isso vá em Configurações -> Segurança -> Fontes desconhecidas
- O firmware de seu roteador deve ser atualizado com frequência. Não utilize firmware baixado de sites pouco confiáveis.
- Sempre altere a senha de fábrica do roteador.
O que fazer caso você seja infectado pelo Roaming Mantis?
- Mude todas as suas senhas de contas comprometidas pelo malware. Cancele cartões de banco cujos detalhes foram digitados nos sites de phishing do Roaming Mantis.
- Instale um Kaspersky Internet Security em todos os seus dispositivos e execute uma verificação do sistema.
- Navegue até as configurações de seu roteador e verifique o endereço do servidor do DNS. Caso não corresponda ao emitido pelo provedor, mude para o certo.
- Troque a senha de administração do roteador e atualize o firmware. Garanta ainda que você os baixe apenas do site oficial do fabricante.
Nenhum comentário:
Postar um comentário