Malware para Android original da Ásia expande-se para o resto do mundo

A campanha de malware, de nome Roaming Mantis, foi detetada pelos investigadores da Kaspersky Lab durante o passado mês de abril. As descobertas da Kaspersky Lab indicam que os hackers responsáveis pela ameaça Roaming Mantis têm como alvo routers vulneráveis e distribuem o malware através de um simples truque de controlo das definições de DNS dos routers infetados. No entanto, a forma como os comprometem é ainda desconhecida.

Assim que o DNS é controlado, qualquer tentativa por parte dos utilizadores de aceder a um website direciona-os para um URL semelhante mas com conteúdos falsos com origem nos servidores dos hackers. Isto inclui a mensagem “Para melhorar a sua experiência de navegação, por favor instale a versão mais atual do Chrome”, o que leva à instalação de uma aplicação trojan, de nome “facebook.apk” ou “chrome.apk”, que contem o backdoor Android dos hackers.

O malware Roaming Mantis verifica, posteriormente, se o dispositivo está rooted e pede permissão para ser notificado sobre qualquer atividade de comunicação ou de navegação do utilizador. O malware tem também a capacidade de recolher uma grande quantidade de dados, incluindo as credenciais para a autentificação de dois fatores. O interesse dos hackers neste detalhe, e o facto de algum do código malware utilizado incluir referências a aplicações bancárias e de jogos para dispositivos móveis populares na Coreia do Sul, sugere um potencial motivo financeiro por trás da campanha.
A investigação inicial elaborada pela Kaspersky Lab detetou cerca de 150 alvos, maioritariamente na Coreia do Sul, Bangladesh e Japão, mas revelou igualmente milhares de conexões diárias aos servidores de Comando e Controlo (C2) dos hackers, o que revela uma escala de ataques mais vasta. O malware incluiu ainda apoio em quatro línguas: coreano, chinês simplificado, japonês e inglês.

A área de ataque expandiu-se desde então para 27 línguas, entre as quais a portuguesa, polaca, alemã, árabe, búlgara e russa. Os hackers introduziram também páginas de phishing relacionadas com a Apple, caso o malware se deparasse com um dispositivo iOS. A mais recente adição ao seu arsenal é um website malicioso para computadores que permite a cripto mineração. As observações da Kaspersky Lab sugerem que, pelo menos uma onde mais vasta de ataques já aconteceu, com os investigadores a detetarem mais de 100 alvos entre os clientes da empresa de cibersegurança em poucos dias.

"Quando detetámos o Roaming Mantis pela primeira vez, em abril, tratava-se de uma ameaça ativa e em rápida transformação. Novas provas revelam uma expansão dramática na geografia dos alvos, incluindo atualmente a Europa e o Médio Oriente, entre outros. Acreditamos que os atacantes são hackers em busca de lucros financeiros e encontrámos várias pistas que sugerem que falam chinês ou coreano. Há uma clara e considerável motivação por trás desta ameaça, pelo que é pouco provável de diminua nos próximos tempos. A utilização de routers infetados e a tomada de controlo de DNS revela a necessidade de uma forte proteção de dispositivos, bem como a utilização de conexões seguras,” afirma Suguru Ishimaru, Investigador de Segurança na Kaspersky Lab Japão.

De forma a proteger as conexões de internet desta ameaça, a Kaspersky Lab recomenda os utilizadores a consultarem o manual de utilizador do router para garantir que as definições de DNS não foram alteradas ou, em alternativa, contactar o fornecedor de internet; alterarem a password de acesso à interface de administrador do router e atualizar com regularidade o firmware do mesmo a partir de fontes oficiais; nunca instalar firmware para o router a partir de fontes de terceiros e evitar também a utilização de repositórios de terceiros para dispositivos Android; e verificar sempre os endereços dos motores de busca e de websites para garantir a legitimidade dos mesmos; procurar pelo https aquando da inserção de informações.