Спецпроекты

ПО Безопасность Бизнес ИТ в банках Маркет

Идет масштабная атака на российских пользователей. Хакеры стараются вскрыть их банковские аккаунты

Выявленная в прошлом году группировка RoamingMantis добавила к своему арсеналу вредоносные настройки для iPhone. Ранее она специализировалась на подмене DNS-настроек на роутерах, чтобы заманить владельцев устройств на Android на вредоносные ресурсы.

SMS-фишинг

Хакерская группировка Roaming Mantis запустила новую волну фишинговых атак. Если в прошлом злоумышленники атаковали преимущественно пользователей в Японии, Бангладеше и Южной Корее, то теперь в прицеле оказались Казахстан, Азербайджан, Иран, Вьетнам, а наибольшее количество пострадавших пришлось на Россию.

Кампания RoamingMantis впервые была выявлена в 2018 г. Злоумышленники занимались подменой настроек DNS на роутерах пользователей — преимущественно в Японии — так, чтобы перенаправлять жертв на вредоносные ресурсы, с которых на их мобильные устройства устанавливались поддельные приложения facebook.apk и chrome.apk, заряженные банковским троянцем.

Теперь началась новая волна атак, в ходе которой злоумышленники преимущественно распространяют фишинговые ссылки через SMS.

Смена арсенала

На этот раз злоумышленники заманивают жертв с устройствами на базе iOS на специальную лендинговую страницу и обманом заставляют установить на устройство новый набор настроек.

haker600.jpg
Азиатская хакерская кампания начала торпедировать российских пользователей

«После активации этих настроек в браузере автоматически открывается фишинговый сайт, а информация о зараженном устройстве направляется злоумышленникам. Эти сведения включают DEVICE_PRODUCT, DEVICE_VERSION, UDID, ICCID, IMEI и MEID», — указывают эксперты «Лаборатории Касперского».

Про Android злоумышленники тоже не забывают. «Наша телеметрия указывает на новую волну APK-файлов, которые мы детектируем как Trojan-Dropper.AndroidOS.Wroba.g», — говорится в публикации «Лаборатории Касперского».

В конце февраля 2019 г. эксперты обнаружили новые URL-запросы от вредоносной программы, подменяющей настройки DNS, которую злоумышленники используют для компрометации соответствующих установок в роутерах. Атака работает при следующих условиях: контрольная панель роутера не требует авторизации при доступе из внутренней сети; на устройстве действует активная сессия с административным доступом; роутер использует простые или предустановленные пары логинов-паролей (admin:admin, admin:123456 и т. д.).

Эксперты «Касперского» выявили несколько сотен роутеров, скомпрометированных таким образом, и все они перенаправляли жертв на IP-адрес вредоносного сайта.

Вместе с тем, специалисты полагают, что вредоносные мобильные настройки могут представлять даже больше проблем для конечных пользователей, чем программы, подменяющие DNS-настройки.

Между 25 февраля и 20 марта 2019 г. эксперты «Лаборатории Касперского» выявили 6800 сэмплов вредоносных программ, связанных RoamingMantis; пострадали как минимум 950 уникальных пользователей.

«Количество пострадавших кажется относительно небольшим, однако вопрос — что именно это за жертвы; то, что злоумышленники стали активно атаковать устройства на базе iOS, указывает на их интерес к людям со статусом и достатком выше среднего, — считает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Плюс, не исключено, что это только начало: прошлая "итерация" RoamingMantis испортила жизнь тысячам людей по всему миру».

Роман Георгиев

Короткая ссылка