«Лаборатория Касперского» сообщила о новой вариации DNS-спуфера Roaming Mantis (RM), который впервые попал на радары ИБ-экспертов в апреле 2018 года. Доработанный зловред расширил зону активности, научился новым техникам атаки и маскировки против защитных систем.

Первая модификация RM распространялась в Южной Корее, Бангладеше и Японии. Злоумышленники использовали подмену DNS, чтобы привлечь Android-пользователей на свою веб-страницу и заразить банковским трояном под видом обновления Facebook или Chrome.

Набор вредоносных функций позволяет RM собирать пользовательские учетные данные и системную информацию, управлять SMS, MMS и звонками, записывать звук через смартфон.

После недавнего обновления зловред получил перевод на 27 европейских и ближневосточных языков, что свидетельствует о растущем масштабе кампании. На данный момент аналитики «Лаборатории Касперского» говорят о 150 случаях заражения, большая часть которых пришлась на Россию, Украину и Индию. Эксперты отмечают, что DNS-спуфинг в теории позволяет RM блокировать автоматические оповещения антивирусных служб и скрывать реальный масштаб эпидемии.

Функционально новое поколение зловреда практически не отличается от апрельских образцов, однако теперь он также атакует пользователей iOS и персональные компьютеры.

В первом случае спуфер перебрасывает жертву на несуществующий адрес http://security[.]apple[.]com. Там пользователя просят ввести не только логин и пароль учетной записи Apple, но и платежные данные карты, привязанной к аккаунту.

При атаке на персональный компьютер зловред запускает скрипт Coinhive, позволяющий добывать криптовалюту через веб-браузер. Майнер, который зачастую используется для легитимной монетизации веб-площадок, может существенно снизить производительность зараженной машины. В эксперименте «Лаборатории Касперского» при переходе на посадочную страницу RM загрузка процессора достигла 100%.

По информации аналитиков, зловред также обновил функции бэкдора, которые обеспечивают удаленный контроль над аппаратом жертвы. При исполнении новой команды ping RM отправляет пакет на командный сервер, позволяя преступникам оценить его сетевую доступность и отследить применение песочниц.

Еще одна новая функция, которую зловред использует для противодействия антивирусам, позволяет ему создавать случайные имена для установщика. В результате становится труднее обнаружить вредонос по файловым хешам. В то же время эксперты «Лаборатории Касперского» отмечают, что эта техника носит весьма примитивный характер.

В октябре 2017 года Google анонсировала новый протокол обмена, который поможет устройствам на базе Android бороться с DNS-спуфингом. Решение позволит шифровать трафик между браузером и DNS-сервером, обеспечивая уровень защищенности, сравнимый с HTTPS.

Категории: Вредоносные программы