Roaming Mantis взламывает роутеры и атакует пользователей Android

Олег Иванов 18 Мая 2018 - 15:51

...

Roaming Mantis взламывает роутеры и атакует пользователей Android

«Лаборатория Касперского» обнаружила угрозу, которая активно распространяется по миру через взломанные роутеры. Зловред, получивший название Roaming Mantis, изначально атаковал пользователей Android в Азии с целью сбора данных.

Сейчас же злоумышленники добавили в него «поддержку» уже 27 различных языков, распространённых на Ближнем Востоке и в Европе, в том числе русский. Кроме того, атакующие теперь разработали и дополнительный фишинговый модуль для iOS-устройств, а также внедряют скрытый скрипт-майнер криптовалют (Coinhive/Monero) в случае выхода в сеть с ПК.

Изначальной целью атакующих были конфиденциальные данные, в частности используемые для двухфакторной аутентификации, например, для доступа к Google-аккаунтам жертв. Roaming Mantis даёт злоумышленникам полный контроль над заражённым устройством, поэтому они могут собирать любую интересующую их информацию. Как полагают эксперты «Лаборатории Касперского», за этим, скорее всего, стоят китайско- или корейскоговорящие киберпрестпуники.

В начале своей «карьеры» Roaming Mantis атаковал, по подсчётам аналитиков «Лаборатории Касперского», около 150 пользователей – преимущественно в Южной Корее, Бангладеш и Японии. После расширения возможностей зловреда эксперты зарегистрировали ещё более 100 попыток атак. В то же время на серверах злоумышленников ежедневно фиксируются тысячи соединений, что может говорить о более широком масштабе заражений.

Распространяется Roaming Mantis с помощью техники подмены DNS (системы доменных имён). Зловред ищет уязвимые роутеры и меняет их настройки DNS. Метод компрометации роутеров до сих пор остаётся неизвестным. Однако в случае успешного взлома и подмены настроек любая попытка пользователя перейти на какой-либо сайт будет заканчиваться тем, что он окажется на фальшивой странице, созданной злоумышленниками.

Страница эта будет показывать жертве сообщение с предложением установить последнюю версию браузера (например, Google Chrome) для перехода на запрошенную страницу. Если человек согласится и его настройки системы разрешают установку приложений из сторонних источников, то это автоматически запустит установку троянского приложения, содержащего бэкдор для Android.

Если это пользователь с iOS – то его направят на фишинговую страницу, а если ПК – то внедрят майнер криптовалют.

«Впервые мы предупредили наших пользователей о Roaming Mantis в апреле этого года, и уже тогда было понятно, что угроза будет развиваться очень быстро. Спустя месяц мы видим, что так оно и происходит. Злоумышленники очевидно ищут большей финансовой выгоды и готовы ради этого расширять и модифицировать возможности своего главного инструмента. И тот факт, что для распространения зловреда атакующие взламывают роутеры и меняют их настройки, в очередной раз демонстрирует необходимость комплексной защиты всех устройств, а не только традиционных ПК и смартфонов», – отметил Сугуру Ишимару (Suguru Ishimaru), антивирусный эксперт «Лаборатории Касперского».

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 23 Апреля 2026 - 09:41

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

АРПП предложила создать орган для выработки политики в отношении VPN

Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт», объединяющая более 300 разработчиков ПО, предложила создать согласительный орган, который смог бы выработать «взвешенную политику» в отношении VPN. Компании, входящие в ассоциацию, готовы направить в него своих лучших специалистов.

Соответствующее предложение содержится в письме, которое АРПП «Отечественный софт» направила премьер-министру Михаилу Мишустину и главе администрации президента Антону Вайно.

Документ оказался в распоряжении РБК. В ассоциации подтвердили его подлинность.

«ИТ-сообщество умеет достаточно эффективно бороться с негативными явлениями в интернете — вирусами, атаками, мошенничеством, фишингом и спамом, и эти компетенции можно и нужно использовать», — говорится в письме за подписью главы ассоциации Натальи Касперской.

В АРПП заявили о готовности выделить в такой согласительный орган «лучших технических специалистов», чтобы проработать и предложить «взвешенные меры по суверенизации информационного пространства России без разрушения инфраструктуры Рунета».

Идею «белых списков» VPN, создать которые ранее предложили на круглом столе с участием представителей ряда других отраслевых ассоциаций, в АРПП назвали неэффективной и потенциально опасной. В ассоциации считают, что фиксированный перечень известных сервисов неустойчив к санкционным ограничениям. При этом многие используют VPN для доступа к сервисам, которые недоступны российским компаниям из-за санкционной политики.

Как также говорится в письме АРПП, блокировки VPN затрудняют работу российских разработчиков ПО, поскольку многие компоненты с открытым кодом размещены на зарубежных ресурсах, а программисты нередко используют VPN, чтобы не раскрывать российский IP-адрес. Кроме того, отечественные компании привлекают зарубежных разработчиков, и блокировки осложняют взаимодействие с ними. Ситуацию усугубляют ложные срабатывания, из-за которых ранее блокировались репозитории Rust и пакетная база дистрибутива Linux Debian.

В документе также отмечается, что с технической точки зрения VPN сложно отличить от обычного зашифрованного трафика. Кроме того, в письме напоминается, что VPN не является единственной технологией обхода блокировок, а новые инструменты такого рода появляются постоянно. Не исключено и то, что действия регулятора могут подтолкнуть противников к имитации VPN-трафика, чтобы создавать сбои в Рунете.

Со своей стороны Роскомнадзор ранее заявил, что корпоративные VPN регулятор не ограничивает. В перечень исключений, по данным ведомства, вошли более 57 тыс. сетевых адресов свыше 1700 организаций.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!