Взлом роутера угрожает пользователям Android и iOS

«Лаборатория Касперского» обнаружила угрозу, которая активно распространяется по миру через взломанные роутеры. Roaming Mantis изначально атаковал пользователей Android в Азии с целью сбора данных. Сейчас же злоумышленники добавили в него «поддержку» новых языков, разработали дополнительный фишинговый модуль для iOS-устройств, а также внедряют скрытый скрипт-майнер криптовалют (Coinhive/Monero) в случае выхода в сеть с ПК.

Roaming Mantis даёт злоумышленникам полный контроль над заражённым устройством, поэтому они могут собирать любую интересующую их информацию. На серверах злоумышленников ежедневно фиксируются тысячи соединений, что может говорить о расширяющемся масштабе заражений.

Распространяется Roaming Mantis с помощью техники подмены DNS (системы доменных имён). Вредоносная программа ищет уязвимые роутеры и меняет их настройки DNS. Метод компрометации роутеров до сих пор остаётся неизвестным. Однако в случае успешного взлома и подмены настроек любая попытка пользователя перейти на какой-либо сайт будет заканчиваться тем, что он окажется на фальшивой странице, созданной злоумышленниками.

Страница показывает сообщение с предложением установить последнюю версию браузера (например, Google Chrome). В случае установки инсталлируется троян, содержащий бэкдор для Android. Если это пользователь с iOS, то его направят на фишинговую страницу, а если ПК – внедрят майнер криптовалют. Впервые о Roaming Mantis стало известно в апреле этого года. Теперь злоумышленники очевидно ищут большей финансовой выгоды и готовы ради этого расширять и модифицировать возможности своего инструмента.

Вредоносная программа детектируется антивирусами как Trojan-Banker.AndroidOS.Wroba. Чтобы не стать жертвой подобной угрозы, «Лаборатория Касперского» рекомендует пользователям: проверить подлинность настроек DNS в своём роутере (с помощью инструкции или интернет-провайдера); изменить логин и пароль, установленные на роутере производителем, и регулярно обновлять программное обеспечение устройства из официальных источников; никогда не устанавливать ПО из ненадёжных источников; проверять подлинность браузера и веб-сайта, а прежде чем вводить какие-либо данные, убедиться в защищённости страницы.

Хотите быть в курсе последних важных событий? Подписывайтесь на телеграмм-канал АНТИРЕЙД t.me/antiraid