Roaming Mantis:透過Wi-Fi路由感染智慧手機

　　前段時間，我們的專家調查了一款他們稱為Roaming Mantis的惡意軟體。當時，受影響的人主要來自日本，韓國，中國，印度和孟加拉國的使用者，所以我們沒有在其他地區討論惡意軟體，這似乎是一個針對威脅。

　　然而，自報告發布以來的一個月，Roaming Mantis又增加了二十多種語言，並迅速在世界各地傳播。

　　惡意軟體使用受感染的路由器感染基於Android的智慧手機和平板電腦。然後，它將iOS裝置重定向到釣魚網站，並在桌上型電腦和筆記本電腦上執行CoinHive密碼管理指令碼。它是透過DNS劫持的方式實現的，這使得目標使用者難以發現某些問題。

　　什麼是DNS劫持

　　當您在瀏覽器位址列中輸入網站名稱時，瀏覽器實際上並未向該網站傳送請求。它不能; 網際網路對IP地址進行操作，這是一組數字，而帶有單詞的域名更易於人們記住和輸入。

　　當你輸入一個URL時，你的瀏覽器傳送一個請求到一個DNS伺服器(DNS是域名系統)，它將人性化的名字翻譯成相應網站的IP地址。這是瀏覽器用來查詢和開啟網站的這個IP地址。

　　DNS劫持是一種欺騙瀏覽器的方式，讓瀏覽器誤認為它已經將域名與正確的IP地址相匹配。儘管IP地址不正確，但使用者輸入的原始URL會顯示在瀏覽器位址列中，因此沒有任何可疑內容。

　　有很多DNS劫持技術，但Roaming Mantis創造者們選擇了或許最簡單和最有效的方法：他們劫持被破壞的的設定，迫使他們使用他們自己的流氓DNS。這意味著只要是連線到此路由器的裝置無論在瀏覽器位址列中輸入任何內容，都會被重定向到惡意站點。

　　在Android上的Roaming Mantis

　　使用者重定向到惡意網站後，系統會提示他們更新瀏覽器。這導致下載一個名為chrome.apk的惡意應用程式(還有另一個版本，名為facebook.apk)。

　　惡意軟體會在安裝過程中請求一系列許可權，包括訪問帳戶資訊的許可權，傳送和接收SMS訊息，處理語音呼叫，錄製音訊，訪問檔案，在其它應用上顯示自己的視窗等等。對於Google Chrome這樣的可信應用程式，該列表並不可疑 – 如果使用者認為此“瀏覽器更新”合法，則他們一定會授予許可權，甚至不會在乎許可權列表。

　　應用程式安裝完成後，惡意軟體使用許可權訪問帳戶列表以找出裝置上使用的Google帳戶。接下來，使用者會看到一條訊息(它顯示在所有其他開啟的視窗的頂部，這是惡意軟體請求的另一個許可權)，表示他們的帳戶出現問題，並且他們需要重新登入。然後開啟一個頁面並提示使用者輸入他們的姓名和出生日期。

　　Roaming Mantis：世界巡迴演唱會，iOS首發挖礦

　　一開始，Roaming Mantis可以用四種語言顯示資訊：英語，韓語，中文和日語。但是在其他地方，它的作者擴充套件另外二十種語言：

　　阿拉伯、亞美尼亞、保加利亞語、孟加拉、捷克、喬治亞、德語、希伯來語、印地語、印度尼西亞、義大利、馬來語、拋光、葡萄牙語、俄語、塞爾維亞 – 克羅埃西亞語、西班牙語、他加祿語、泰國、土耳其、烏克蘭、越南。

　　作者還改進了Roaming Mantis，以具備攻擊iOS的裝置。這是與Android攻擊不同的場景。在iOS上，Roaming Mantis跳過下載應用程式; 相反，惡意站點會顯示一個釣魚頁面，提示使用者立即重新登入到App Store。為了增加可信度，位址列顯示可靠的URL security.apple.com：

　　Roaming Mantis不僅僅會盜用Apple ID，還會要求使用者輸入銀行卡號碼：

　　我們的專家發現該惡意程式還會感染pc。在這些裝置上，漫遊Mantis執行CoinHive挖掘指令碼，該指令碼挖掘加密貨幣並將其直接轉儲到犯罪分子的錢包中。受害者的cpu資源被大量佔用，迫使系統卡頓並消耗大量電力。

　　如何防止感染該惡意程式

　　在裝置上安裝防護軟體：不僅僅是電腦和電腦，還有智慧和。

　　定期更新裝置上的所有已安裝軟體。

　　在Android裝置上，禁用未知來源的應用程式安裝。您可以在設定 – >安全 – >未知來源下找到該選項。

　　儘可能經常更新您的路由器韌體(檢視您的路由器的手冊以瞭解如何)。請勿使用從未知網站下載的非官方韌體。