Comunidade
© 2025 Avance Network
SobreDiretórioContatoDesenvolvedoresPrivacidadeTermos de UsoReembolso
Ciência e Tecnologia

O Roaming Mantis infecta smartphones por meio de roteadores Wi-Fi

User Image
402 Visualizações

Originalmente voltado para usuários do Japão, Coreia e China, o Roaming Mantis está se espalhando rapidamente pelo mundo, infectando smartphones por meio de roteadores wi-fi hackeados.

Algum tempo atrás, nossos especialistas investigaram um malware que eles apelidaram de Roaming Mantis . Naquela época, as pessoas afetadas eram principalmente usuários do Japão, Coréia, China, Índia e Bangladesh, então não discutimos o malware no contexto de outras regiões; parecia ser uma ameaça local.

 

No entanto, no mês desde que o relatório foi publicado, o Roaming Mantis adicionou mais duas dúzias de idiomas e está se espalhando rapidamente pelo mundo.

 

O malware usa roteadores comprometidos para infectar smartphones e tablets baseados em Android. Em seguida, ele redireciona os dispositivos iOS para um site de phishing e executa o script de criptominação CoinHive em desktops e laptops. Ele faz isso por meio de sequestro de DNS, tornando difícil para os usuários-alvo detectar que algo está errado.

 

O que é sequestro de DNS

 

Quando você insere o nome de um site na barra de endereço do navegador, o navegador não envia uma solicitação a esse site. Não pode; a Internet opera em endereços IP, que são conjuntos de números, enquanto os nomes de domínio com palavras são mais fáceis de lembrar e inserir.

 

Quando você insere um URL, seu navegador envia uma solicitação a um servidor DNS (DNS é Sistema de Nome de Domínio), que traduz o nome amigável para o endereço IP do site correspondente. É esse endereço IP que o navegador usa para localizar e abrir o site.

 

O sequestro de DNS é uma forma de enganar o navegador, fazendo-o pensar que correspondeu o nome de domínio ao endereço IP correto, quando na verdade não foi. Embora o endereço IP esteja errado, o URL original inserido pelo usuário é exibido na barra de endereço do navegador, portanto, nada parece suspeito.

 

Existem muitas técnicas de sequestro de DNS, mas os criadores do Roaming Mantis escolheram talvez a mais simples e eficaz: eles sequestram as configurações de roteadores comprometidos, forçando-os a usar seus próprios servidores DNS invasores. Isso significa que independentemente do que for digitado na barra de endereço do navegador de um dispositivo conectado a este roteador, o usuário é redirecionado para um site malicioso.

 

Roaming Mantis no Android

 

Depois que o usuário é redirecionado para o site malicioso, ele é solicitado a atualizar o navegador. Isso leva ao download de um aplicativo malicioso chamado chrome.apk (havia outra versão também, chamada facebook.apk ).

 

 

O malware solicita várias permissões durante o processo de instalação, incluindo direitos para acessar informações da conta, enviar e receber mensagens SMS, processar chamadas de voz, gravar áudio, acessar arquivos, exibir sua própria janela sobre as outras e assim por diante. Para um aplicativo confiável como o Google Chrome, a lista não parece muito suspeita - se o usuário considerar essa “atualização do navegador” legítima, ele certamente concederá permissões sem nem mesmo ler a lista.

 

Depois que o aplicativo é instalado, o malware usa o direito de acessar a lista de contas para descobrir qual conta do Google é usada no dispositivo. Em seguida, é exibida uma mensagem ao usuário (ela aparece em cima de todas as outras janelas abertas, outra permissão solicitada pelo malware) dizendo que algo está errado com sua conta e que ele precisa fazer login novamente. Uma página é aberta e solicita que o usuário insira seu nome e data de nascimento.

 

 

Parece que esses dados, junto com as permissões de SMS que concedem acesso aos códigos únicos necessários para a autenticação de dois fatores, são usados ​​pelos criadores do Roaming Mantis para roubar contas do Google.

 

Roaming Mantis: turnê mundial, estreia no iOS e mineração

 

No início, o Roaming Mantis podia exibir mensagens em quatro idiomas: inglês, coreano, chinês e japonês. Mas em algum momento ao longo da linha, seus criadores decidiram expandir e adicionar outras duas dúzias de idiomas ao malware poliglota:

 

árabe

Armênio

búlgaro

bengali

Tcheco

Georgiano

alemão

hebraico

hindi

indonésio

italiano

malaio

polonês

Português

russo

Servo-croata

espanhol

Tagalo

tailandês

turco

ucraniano

vietnamita

 

Enquanto faziam isso, os criadores também aprimoraram o Roaming Mantis, ensinando-o a atacar dispositivos com iOS. É um cenário diferente dos ataques do Android. No iOS, o Roaming Mantis pula o download do aplicativo; em vez disso, o site malicioso exibe uma página de phishing solicitando que o usuário efetue login novamente na App Store imediatamente. Para adicionar credibilidade, a barra de endereço mostra o URL tranquilizador security.apple.com:

 

 

Os cibercriminosos não limitam seu roubo às credenciais de ID da Apple; imediatamente após inserir esses dados, o usuário é solicitado a fornecer um número de cartão bancário:

 

 

A terceira inovação que nossos especialistas descobriram diz respeito a computadores desktop e laptops. Nesses dispositivos, Roaming Mantis executa o script de mineração CoinHive, que minas criptomoeda e despeja-lo direto para os bolsos dos fabricantes de malware. O processador do computador da vítima é carregado ao máximo, forçando o sistema a desacelerar e consumir grande quantidade de energia.

 

 

Como se proteger de Roaming Mantis

 

Use proteção antivírus em todos os dispositivos: não apenas em computadores e laptops, mas também em smartphones e tablets.

Atualize regularmente todo o software instalado em seus dispositivos.

Em dispositivos Android, desative a instalação de aplicativos de fontes desconhecidas. Você encontrará esta opção em Configurações - Segurança - Fontes desconhecidas.

Atualize o firmware do roteador (verifique o manual do roteador para descobrir como) o mais rápido possível. Não use firmware não oficial baixado de sites obscuros.

Sempre altere a senha de administrador padrão no roteador.

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.

Strong

5178 Blog Postagens

7 tecnologias que estragam tudo Ciência e Tecnologia

7 tecnologias que estragam tudo

Como a negação plausível pode proteger seus dados Ciência e Tecnologia

Como a negação plausível pode proteger seus dados

Smartphones: 5 alternativas à Apple, Google e Samsung Ciência e Tecnologia

Smartphones: 5 alternativas à Apple, Google e Samsung

Comentários