{"id":10330,"date":"2018-05-24T16:54:59","date_gmt":"2018-05-24T19:54:59","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10330"},"modified":"2019-11-22T07:20:04","modified_gmt":"2019-11-22T10:20:04","slug":"roaming-mantis-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/roaming-mantis-malware\/10330\/","title":{"rendered":"Roaming Mantis infecta smartphones via roteadores WiFi"},"content":{"rendered":"

H\u00e1 algum tempo, nossos especialistas investigaram um malware que chamaram de Roaming Mantis.<\/a>\u00a0<\/u>Naquele momento, os alvos principais eram usu\u00e1rios no Jap\u00e3o, Coreia, China, \u00cdndia e Bangladesh\u00a0 -por isso, n\u00e3o o discutimos no contexto de outras regi\u00f5es.<\/p>\n

Entretanto, no m\u00eas ap\u00f3s a publica\u00e7\u00e3o do relat\u00f3rio, o malware aprendeu outras duas dezenas de l\u00ednguas e se lan\u00e7ou ao redor do mundo.
\nAo utilizar roteadores comprometidos para afetar smartphones e tablets com Android, o Mantis redireciona dispositivos iOS para sites de phishing, executa scripts de cryptomining<\/em><\/a> em computadores de mesa e laptops. Isso \u00e9 feito por meio de sequestro de DNS, o que torna dif\u00edcil para usu\u00e1rios detectarem o problema.<\/p>\n

O que <\/strong>\u00e9 o sequestro de DNS?<\/strong><\/h3>\n

Quando voc\u00ea digita o nome de um site na barra de endere\u00e7o do seu navegador, o programa n\u00e3o envia uma requisi\u00e7\u00e3o neste formato para o site. A internet opera com endere\u00e7os IP -n\u00fameros- ao passo que nomes de dom\u00ednio com letras s\u00e3o para pessoas -afinal s\u00e3o mais f\u00e1ceis de lembrar e inserir.<\/p>\n

Ent\u00e3o, a primeira coisa feita pelo navegador quando um URL \u00e9 digitado \u00e9 enviar a requisi\u00e7\u00e3o ao que chamamos de servidor <\/a>DNS (sigla em ingl\u00eas para Domain Name System, ou Sistema de Nome de Dom\u00ednio)<\/u>, que traduz o nome \u201chumano\u201d em um endere\u00e7o de IP que corresponde ao site.<\/p>\n

O sequestro de DNS \u00e9 uma forma de enganar o navegador ao pensar que encontrou o dom\u00ednio para um certo IP, embora n\u00e3o seja verdade. Mesmo que o endere\u00e7o IP esteja errado, a URL original digitada pelo usu\u00e1rio \u00e9 exibida na barra de endere\u00e7o, ent\u00e3o nada parece suspeito.<\/p>\n

H\u00e1 muitas t\u00e9cnicas de sequestro de DNS, mas os criadores do Roaming Mantis escolheram talvez a mais simples e efetiva: sequestram as configura\u00e7\u00f5es dos roteadores comprometidos, o que os for\u00e7a a usar seu pr\u00f3prio servidor DNS. Isso significa que seja l\u00e1 o que for digitado no navegador de um dispositivo conectado ao roteador leva usu\u00e1rio a um site malicioso.<\/p>\n

Roaming Mantis no Android <\/strong><\/h3>\n

Depois que o usu\u00e1rio foi redirecionado para um site malicioso, tende-se a querer atualizar o software. Isso leva ao download do app malicioso\u00a0chrome.apk<\/strong>\u00a0(havia outra vers\u00e3o com o nome facebook.apk<\/strong>).
\n
\nO malware requisita diversas permiss\u00f5es <\/a><\/u>de hospedeiro durante a instala\u00e7\u00e3o de processos, o que inclui direitos de acesso aos arquivos e informa\u00e7\u00f5es de conta, envio\/recebimento de SMS, chamadas de voz, grava\u00e7\u00f5es de \u00e1udio, sobreposi\u00e7\u00e3o de tela, entre outros. Em um aplicativo confi\u00e1vel como o Google Chrome, uma lista dessas n\u00e3o parece suspeita \u2013 se o usu\u00e1rio considerar essa \u201catualiza\u00e7\u00e3o\u201d leg\u00edtima, provavelmente conceder\u00e1 a permiss\u00e3o sem sequer ler a lista.<\/p>\n

Depois que o aplicativo \u00e9 instalado, utiliza o direito de acesso \u00e0 lista de contatos para descobrir qual conta do Google \u00e9 usada no dispositivo. A seguir, o usu\u00e1rio visualiza uma mensagem (aparece no topo de todas as janelas abertas, afinal o malware tamb\u00e9m pediu essa permiss\u00e3o) ao dizer que h\u00e1 algo de errado em sua conta e ser\u00e3o necess\u00e1rias as informa\u00e7\u00f5es de acesso novamente. Uma p\u00e1gina abre e solicita o nome e data de nascimento do usu\u00e1rio.
\n
\nEsses dados, juntamente com as permiss\u00f5es de SMS, fornecem acesso a um c\u00f3digo de uso \u00fanico necess\u00e1rio para autentica\u00e7\u00e3o de dois fatores, os quais s\u00e3o usados para roubar a conta do Google.<\/p>\n

Roaming Mantis: turn\u00ea mundial, estreia no iOS e mining <\/strong><\/h3>\n

No come\u00e7o, o Roaming Mantis sabia como exibir mensagens em quatro l\u00ednguas: ingl\u00eas, coreano, chin\u00eas e japon\u00eas. Mas ao longo de sua evolu\u00e7\u00e3o, seus criadores decidiram expandir e torn\u00e1-lo poliglota, acrescentando mais de 20 l\u00ednguas, incluindo o Portugu\u00eas.<\/p>\n

J\u00e1 que estavam na miss\u00e3o de melhorar o Roaming Mantis, os criminosos o ensinaram a rodar no iOS. Trata-se de um cen\u00e1rio diferente do Android. Ele pula o download do aplicativo e exibe uma p\u00e1gina de phishing que impele o usu\u00e1rio a logar na App Store. Para favorecer a credibilidade, a barra de endere\u00e7o exibe o reconfortante security.apple.com<\/strong>.
\n
\nOs cibercriminosos n\u00e3o se limitam a roubar credenciais da Apple ID. Imediatamente depois de inserir os dados, \u00e9 pedido ao usu\u00e1rio entrar com seu n\u00famero de cart\u00e3o de cr\u00e9dito:
\nA terceira inova\u00e7\u00e3o descoberta por nossos especialistas diz respeito aos computadores de mesa e laptops. Nesses dispositivos, o Roaming Mantis executa o script de mining CoinHive, que minera <\/a><\/u>criptomoedas direto para os bolsos dos criadores do malware. O computador da v\u00edtima tem seu processador impelido a operar em m\u00e1xima capacidade, o que for\u00e7a o sistema a desacelerar e a gastar mais energia.
\n
\nMais detalhes sobre o Roaming Mantis podem ser encontrados no relat\u00f3rio original<\/a><\/u> e em um artigo do Securelist com informa\u00e7\u00f5es atualizadas sobre o malware<\/a><\/u>.<\/p>\n

Como se proteger do Roaming Mantis?<\/h3>\n