malware

Roaming Mantis infecta smartphones via roteadores WiFi

Vírus que teve como primeiros alvos usuários do Japão, Coreia e China agora se espalha rapidamente pelo mundo por meio da infecção de roteadores hackeados.

Alex Drozhzhin
24 maio 2018

Há algum tempo, nossos especialistas investigaram um malware que chamaram de Roaming Mantis. Naquele momento, os alvos principais eram usuários no Japão, Coreia, China, Índia e Bangladesh -por isso, não o discutimos no contexto de outras regiões.

Entretanto, no mês após a publicação do relatório, o malware aprendeu outras duas dezenas de línguas e se lançou ao redor do mundo.
Ao utilizar roteadores comprometidos para afetar smartphones e tablets com Android, o Mantis redireciona dispositivos iOS para sites de phishing, executa scripts de cryptomining em computadores de mesa e laptops. Isso é feito por meio de sequestro de DNS, o que torna difícil para usuários detectarem o problema.

O que é o sequestro de DNS?

Quando você digita o nome de um site na barra de endereço do seu navegador, o programa não envia uma requisição neste formato para o site. A internet opera com endereços IP -números- ao passo que nomes de domínio com letras são para pessoas -afinal são mais fáceis de lembrar e inserir.

Então, a primeira coisa feita pelo navegador quando um URL é digitado é enviar a requisição ao que chamamos de servidor DNS (sigla em inglês para Domain Name System, ou Sistema de Nome de Domínio), que traduz o nome “humano” em um endereço de IP que corresponde ao site.

O sequestro de DNS é uma forma de enganar o navegador ao pensar que encontrou o domínio para um certo IP, embora não seja verdade. Mesmo que o endereço IP esteja errado, a URL original digitada pelo usuário é exibida na barra de endereço, então nada parece suspeito.

Há muitas técnicas de sequestro de DNS, mas os criadores do Roaming Mantis escolheram talvez a mais simples e efetiva: sequestram as configurações dos roteadores comprometidos, o que os força a usar seu próprio servidor DNS. Isso significa que seja lá o que for digitado no navegador de um dispositivo conectado ao roteador leva usuário a um site malicioso.

Roaming Mantis no Android

Depois que o usuário foi redirecionado para um site malicioso, tende-se a querer atualizar o software. Isso leva ao download do app malicioso chrome.apk (havia outra versão com o nome facebook.apk).

O malware requisita diversas permissões de hospedeiro durante a instalação de processos, o que inclui direitos de acesso aos arquivos e informações de conta, envio/recebimento de SMS, chamadas de voz, gravações de áudio, sobreposição de tela, entre outros. Em um aplicativo confiável como o Google Chrome, uma lista dessas não parece suspeita – se o usuário considerar essa “atualização” legítima, provavelmente concederá a permissão sem sequer ler a lista.

Depois que o aplicativo é instalado, utiliza o direito de acesso à lista de contatos para descobrir qual conta do Google é usada no dispositivo. A seguir, o usuário visualiza uma mensagem (aparece no topo de todas as janelas abertas, afinal o malware também pediu essa permissão) ao dizer que há algo de errado em sua conta e serão necessárias as informações de acesso novamente. Uma página abre e solicita o nome e data de nascimento do usuário.

Esses dados, juntamente com as permissões de SMS, fornecem acesso a um código de uso único necessário para autenticação de dois fatores, os quais são usados para roubar a conta do Google.

Roaming Mantis: turnê mundial, estreia no iOS e mining

No começo, o Roaming Mantis sabia como exibir mensagens em quatro línguas: inglês, coreano, chinês e japonês. Mas ao longo de sua evolução, seus criadores decidiram expandir e torná-lo poliglota, acrescentando mais de 20 línguas, incluindo o Português.

Já que estavam na missão de melhorar o Roaming Mantis, os criminosos o ensinaram a rodar no iOS. Trata-se de um cenário diferente do Android. Ele pula o download do aplicativo e exibe uma página de phishing que impele o usuário a logar na App Store. Para favorecer a credibilidade, a barra de endereço exibe o reconfortante security.apple.com.

Os cibercriminosos não se limitam a roubar credenciais da Apple ID. Imediatamente depois de inserir os dados, é pedido ao usuário entrar com seu número de cartão de crédito:
A terceira inovação descoberta por nossos especialistas diz respeito aos computadores de mesa e laptops. Nesses dispositivos, o Roaming Mantis executa o script de mining CoinHive, que minera criptomoedas direto para os bolsos dos criadores do malware. O computador da vítima tem seu processador impelido a operar em máxima capacidade, o que força o sistema a desacelerar e a gastar mais energia.

Mais detalhes sobre o Roaming Mantis podem ser encontrados no relatório original e em um artigo do Securelist com informações atualizadas sobre o malware.

Como se proteger do Roaming Mantis?

Faça uso de antivírus em todos dispositivos: não apenas computadores e laptops, mas smartphones e tablets.
Atualize com frequência todos os softwares instalados em seus dispositivos.
Em dispositivos Android, desabilite a instalação de softwares de fontes desconhecidas. Para isso vá em Configurações -> Segurança -> Fontes desconhecidas
O firmware de seu roteador deve ser atualizado com frequência. Não utilize firmware baixado de sites pouco confiáveis.
Sempre altere a senha de fábrica do roteador.

O que fazer caso você seja infectado pelo Roaming Mantis?

Mude todas as suas senhas de contas comprometidas pelo malware. Cancele cartões de banco cujos detalhes foram digitados nos sites de phishing do Roaming Mantis.
Instale um Kaspersky Plus em todos os seus dispositivos e execute uma verificação do sistema.
Navegue até as configurações de seu roteador e verifique o endereço do servidor do DNS. Caso não corresponda ao emitido pelo provedor, mude para o certo.
Troque a senha de administração do roteador e atualize o firmware. Garanta ainda que você os baixe apenas do site oficial do fabricante.

SynAck: o ransomware que tenta se esconder

Nova versão de vírus sequestrador utiliza técnicas sofisticadas de fuga.

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como diferenciar uma foto ou vídeo real de uma falsificação e rastrear sua procedência.

Como mudar para a Kaspersky: um guia de migração passo a passo

Como mudar a proteção cibernética de seu computador ou smartphone para a solução de segurança mais premiada da Kaspersky.

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Recebeu uma mensagem de seu chefe ou colega de trabalho pedindo para você “resolver um problema” de uma forma inesperada? Cuidado com golpistas! Como proteger a si mesmo e sua empresa contra um possível ataque?

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.

FERRAMENTAS GRATUITAS

Soluções de segurança direcionadas

Soluções Corporativas

Roaming Mantis infecta smartphones via roteadores WiFi

O que é o sequestro de DNS?

Roaming Mantis no Android

Roaming Mantis: turnê mundial, estreia no iOS e mining

Como se proteger do Roaming Mantis?

O que fazer caso você seja infectado pelo Roaming Mantis?

Cibercriminosos criam 400 mil novos malware por dia

Sintomas que indicam que um de seus dispositivos está sendo atacado

SynAck: o ransomware que tenta se esconder

Dicas

Olha o passarinho (verificado) ou as novas maneiras de reconhecer falsificações

Como mudar para a Kaspersky: um guia de migração passo a passo

Chefe ou fraudador? Golpe disfarçado de ordens do seu chefe

Como proteger a segurança doméstica

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog