Спецпроекты

Идет масштабная атака на российских пользователей. Хакеры стараются вскрыть их банковские аккаунты

4955
ПО Безопасность Бизнес ИТ в банках

Выявленная в прошлом году группировка RoamingMantis добавила к своему арсеналу вредоносные настройки для iPhone. Ранее она специализировалась на подмене DNS-настроек на роутерах, чтобы заманить владельцев устройств на Android на вредоносные ресурсы.

SMS-фишинг

Хакерская группировка Roaming Mantis запустила новую волну фишинговых атак. Если в прошлом злоумышленники атаковали преимущественно пользователей в Японии, Бангладеше и Южной Корее, то теперь в прицеле оказались Казахстан, Азербайджан, Иран, Вьетнам, а наибольшее количество пострадавших пришлось на Россию.

Кампания RoamingMantis впервые была выявлена в 2018 г. Злоумышленники занимались подменой настроек DNS на роутерах пользователей — преимущественно в Японии — так, чтобы перенаправлять жертв на вредоносные ресурсы, с которых на их мобильные устройства устанавливались поддельные приложения facebook.apk и chrome.apk, заряженные банковским троянцем.

Теперь началась новая волна атак, в ходе которой злоумышленники преимущественно распространяют фишинговые ссылки через SMS.

Смена арсенала

На этот раз злоумышленники заманивают жертв с устройствами на базе iOS на специальную лендинговую страницу и обманом заставляют установить на устройство новый набор настроек.

haker600.jpg
Азиатская хакерская кампания начала торпедировать российских пользователей

«После активации этих настроек в браузере автоматически открывается фишинговый сайт, а информация о зараженном устройстве направляется злоумышленникам. Эти сведения включают DEVICE_PRODUCT, DEVICE_VERSION, UDID, ICCID, IMEI и MEID», — указывают эксперты «Лаборатории Касперского».

Про Android злоумышленники тоже не забывают. «Наша телеметрия указывает на новую волну APK-файлов, которые мы детектируем как Trojan-Dropper.AndroidOS.Wroba.g», — говорится в публикации «Лаборатории Касперского».

В конце февраля 2019 г. эксперты обнаружили новые URL-запросы от вредоносной программы, подменяющей настройки DNS, которую злоумышленники используют для компрометации соответствующих установок в роутерах. Атака работает при следующих условиях: контрольная панель роутера не требует авторизации при доступе из внутренней сети; на устройстве действует активная сессия с административным доступом; роутер использует простые или предустановленные пары логинов-паролей (admin:admin, admin:123456 и т. д.).

Эксперты «Касперского» выявили несколько сотен роутеров, скомпрометированных таким образом, и все они перенаправляли жертв на IP-адрес вредоносного сайта.

Вместе с тем, специалисты полагают, что вредоносные мобильные настройки могут представлять даже больше проблем для конечных пользователей, чем программы, подменяющие DNS-настройки.

Между 25 февраля и 20 марта 2019 г. эксперты «Лаборатории Касперского» выявили 6800 сэмплов вредоносных программ, связанных RoamingMantis; пострадали как минимум 950 уникальных пользователей.

«Количество пострадавших кажется относительно небольшим, однако вопрос — что именно это за жертвы; то, что злоумышленники стали активно атаковать устройства на базе iOS, указывает на их интерес к людям со статусом и достатком выше среднего, — считает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — Плюс, не исключено, что это только начало: прошлая "итерация" RoamingMantis испортила жизнь тысячам людей по всему миру».



Персона месяца

Импортозамещение не должно порождать некачественные продукты для местечкового применения

Сергей Калин

президент компании «Открытые технологии»

Стратегия месяца

Рынок заказной разработки ПО в России растет

Олег Баранов

управляющий партнер «Неофлекс»