Обнаружен вирус Roaming Mantis, атакующий смартфоны через Wi-Fi роутеры

Специалисты «Лаборатории Касперского» рассказали о мобильном вредоносном ПО Roaming Mantis, атакующем смартфоны через взломанные роутеры. Изначально мишенью вируса были пользователи Китая, Индии, Кореи и Японии, из-за чего угрозу посчитали локальной. Однако на момент написания материала Roaming Mantis «освоил» несколько десятков языков, среди которых присутствует и русский.

Как работает Roaming Mantis?

Для атак вирус использует подмену DNS, что помогает вредоносу долгое время оставаться в тени. Создатели «научили» малварь прописывать в настройках роутеров собственные адреса DNS-серверов. После этой манипуляции любой поисковой запрос пользователя будет перенаправлен на фишинговый веб-сайт.

Как только пользователь переходит на вредоносную страницу, ему демонстрируется оповещение с просьбой обновить устаревшую версию браузера и запускается загрузка опасного файла с названием chrome.apk.

После установки приложения Roaming Mantis пытается узнать, какая учётная запись прикреплена к устройству. Для этого он использует право на доступ к списку аккаунтов. Далее пользователю сообщается о неполадках с учетной записью и предлагается заново выполнить вход. Затем демонстрируется просьба ввести имя и дату рождения.

Также вирус умеет атаковать устройства на базе iOS. Для этого Roaming Mantis не выполняет загрузку стороннего ПО, а сразу демонстрирует страницу с призывом выполнить вход в App Store. После ввода данных злоумышленники требуют ввести номер банковской карты.

С недавнего времени Roaming Mantis научился взаимодействовать с ПК на Windows, на которых он запускает майнинговый скрипт Coinhive. При этом нагружается процессор, что вызывает сбои в работе устройства и увеличение энергопотребления.

В последнее время всё чаще появляются предупреждения об активности вредоносного ПО. Например, в начале 2018 года была обнаружена первая зловредная программа для Android на языке Kotlin.