2018-5-28

SEGURANÇA

Malware para Android original da Ásia expande-se para o resto do mundo

A 16 de abril investigadores da Kaspersky Lab detetaram um novo malware direcionado a Android distribuído através de uma técnica de apropriação de domain name system (DNS), tendo como alvo smartphones localizados no continente asiático. A superfície de ataque deste malware expandiu-se para o resto do mundo, incluindo Portugal

A campanha de malware, de nome Roaming Mantis, foi detetada pelos investigadores da Kaspersky Lab durante o passado mês de abril. As descobertas da Kaspersky Lab indicam que os hackers responsáveis pela ameaça Roaming Mantis têm como alvo routers vulneráveis e distribuem o malware através de um simples truque de controlo das definições de DNS dos routers infetados. No entanto, a forma como os comprometem é ainda desconhecida.

Assim que o DNS é controlado, qualquer tentativa por parte dos utilizadores de aceder a um website direciona-os para um URL semelhante mas com conteúdos falsos com origem nos servidores dos hackers. Isto inclui a mensagem “Para melhorar a sua experiência de navegação, por favor instale a versão mais atual do Chrome”, o que leva à instalação de uma aplicação trojan, de nome “facebook.apk” ou “chrome.apk”, que contem o backdoor Android dos hackers.

O malware Roaming Mantis verifica, posteriormente, se o dispositivo está rooted e pede permissão para ser notificado sobre qualquer atividade de comunicação ou de navegação do utilizador. O malware tem também a capacidade de recolher uma grande quantidade de dados, incluindo as credenciais para a autentificação de dois fatores. O interesse dos hackers neste detalhe, e o facto de algum do código malware utilizado incluir referências a aplicações bancárias e de jogos para dispositivos móveis populares na Coreia do Sul, sugere um potencial motivo financeiro por trás da campanha.
A investigação inicial elaborada pela Kaspersky Lab detetou cerca de 150 alvos, maioritariamente na Coreia do Sul, Bangladesh e Japão, mas revelou igualmente milhares de conexões diárias aos servidores de Comando e Controlo (C2) dos hackers, o que revela uma escala de ataques mais vasta. O malware incluiu ainda apoio em quatro línguas: coreano, chinês simplificado, japonês e inglês.

A área de ataque expandiu-se desde então para 27 línguas, entre as quais a portuguesa, polaca, alemã, árabe, búlgara e russa. Os hackers introduziram também páginas de phishing relacionadas com a Apple, caso o malware se deparasse com um dispositivo iOS. A mais recente adição ao seu arsenal é um website malicioso para computadores que permite a cripto mineração. As observações da Kaspersky Lab sugerem que, pelo menos uma onde mais vasta de ataques já aconteceu, com os investigadores a detetarem mais de 100 alvos entre os clientes da empresa de cibersegurança em poucos dias.

"Quando detetámos o Roaming Mantis pela primeira vez, em abril, tratava-se de uma ameaça ativa e em rápida transformação. Novas provas revelam uma expansão dramática na geografia dos alvos, incluindo atualmente a Europa e o Médio Oriente, entre outros. Acreditamos que os atacantes são hackers em busca de lucros financeiros e encontrámos várias pistas que sugerem que falam chinês ou coreano. Há uma clara e considerável motivação por trás desta ameaça, pelo que é pouco provável de diminua nos próximos tempos. A utilização de routers infetados e a tomada de controlo de DNS revela a necessidade de uma forte proteção de dispositivos, bem como a utilização de conexões seguras,” afirma Suguru Ishimaru, Investigador de Segurança na Kaspersky Lab Japão.

De forma a proteger as conexões de internet desta ameaça, a Kaspersky Lab recomenda os utilizadores a consultarem o manual de utilizador do router para garantir que as definições de DNS não foram alteradas ou, em alternativa, contactar o fornecedor de internet; alterarem a password de acesso à interface de administrador do router e atualizar com regularidade o firmware do mesmo a partir de fontes oficiais; nunca instalar firmware para o router a partir de fontes de terceiros e evitar também a utilização de repositórios de terceiros para dispositivos Android; e verificar sempre os endereços dos motores de busca e de websites para garantir a legitimidade dos mesmos; procurar pelo https aquando da inserção de informações.

Recomendado pelos leitores

China manipulou Hardware da Supermicro
SEGURANÇA

China manipulou Hardware da Supermicro

LER MAIS

Os desafios do novo escritório digital
SEGURANÇA

Os desafios do novo escritório digital

LER MAIS

Ataques fileless em ascensão
SEGURANÇA

Ataques fileless em ascensão

LER MAIS

IT CHANNEL Nº 51 Outubro 2018

IT CHANNEL Nº 51 Outubro 2018

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.