Roaming Mantis利用DNS更改器通过被感染的公共路由器锁定用户

Roaming Mantis（又被成为Shaoye）是卡巴斯基于2018年首次观察到的一系列网络犯罪活动。它使用恶意安卓包（APK）文件来控制受感染的安卓设备并窃取设备信息。它还有一个针对iOS设备的网络钓鱼选项和针对PC的加密货币挖矿功能。该攻击活动的名称是基于其通过在Wi-Fi网络之间漫游的智能手机传播，可能携带和传播感染。

新的DNS更改器功能可通过公共路由器攻击更多用户

卡巴斯基发现，Roaming Mantis最近在Wroba.o（又名Agent.EQ、Moqhao、XLoader）中引入了一个域名系统（DNS）更改器功能——这款恶意软件最早用在该系列的攻击行动中。DNS更改器是一种恶意程序，它将连接到被感染的Wi-Fi路由器的设备引导到网络犯罪分子控制的服务器上，而不是合法的DNS服务器。在恶意的落地页面上，潜在的受害者被提示下载恶意软件，这些恶意软件可以控制设备或窃取凭证。

目前，Roaming Mantis背后的威胁行为者专门针对位于韩国并由一家非常受欢迎的韩国网络设备供应商制造的路由器。为了识别这些路由器，新的DNS功能获取路由器的IP地址并检查路由器的型号，通过覆盖DNS设置来感染目标。2022年12月，卡巴斯基观测到这个国家有508次恶意APK文件下载。

一项针对恶意落地页面的调查发现，攻击者还使用短信钓鱼而不是DNS更改器来攻击其他地区。这种技术使用短信信息来传播恶意链接，将受害者引导到恶意站点，将恶意软件下载到设备上或通过钓鱼网站窃取用户信息。日本在受攻击的国家中位列首位，从网络罪犯创建的落地页面下载的恶意APK数量接近25,000次。奥地利和法国紧随其后，各有约7000次下载。德国、土耳其、马来西亚和印度也榜上有名。卡巴斯基研究人员预测，犯罪者可能很快就会更新DNS更改器功能，以攻击这些地区的Wi-Fi路由器。

表1. 根据对Roaming Mantis攻击行动中创建的恶意落地页面的调查，2022年12月上半月各个国家的恶意APK下载数量

根据卡巴斯基安全网络（KSN）2022年9月至12月的统计数据，Wroba.o恶意软件（Trojan-Dropper.AndroidOS.Wroba.o）的检出率最高的是法国（54.4%）、日本（12.1%）和美国（10.1%）。

“当一台受感染的智能手机连接到各种公共场所（如咖啡馆、酒吧、图书馆、酒店、购物中心、机场甚至家庭）中的“健康”路由器时，Wroba.o恶意软件可以入侵这些路由器，并影响其他连接的设备。新的DNS更改器功能可以使用被入侵的Wi-Fi路由器管理所有设备的通信，例如重定向到恶意主机和禁用安全产品的更新。我们认为，这一发现对于安卓设备的网络安全至关重要，因为它能够在目标区域大范围传播，”卡巴斯基高级安全研究员Suguru Ishimaru表示。

要阅读最新部署的DNS更改器功能的完整报告，请访问Securelist.com.

为了保护您的互联网链接不受干扰，卡巴斯基研究人员建议采取以下措施：

·         请参阅路由器的用户手册以验证您的DNS设置未被篡改，或联系您的ISP以获得支持。

·         更改路由器管理Web界面的默认登录名和密码，并定期从官方来源更新路由器固件。

·         切勿安装来自第三方的路由器固件。避免为您的安卓设备使用第三方资源库。

·         此外，一定要检查浏览器和网站地址，以确保它们是合法的；当要求输入数据时，寻找诸如HTTPS之类的标志。

·         考虑安装一款移动安全解决方案，例如专门的安全解决方案来保护您的设备不受这些以及其他威胁的侵害。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.