Năm tháng sau khi Kaspersky Lab lần đầu công bố báo cáo về hoạt động hijack DNS nhằm lây nhiễm smartphone tại châu Á, cuộc tấn công biết đến với tên gọi “Roaming Mantis” vẫn hoạt động mạnh mẽ, sử dụng nhiều thủ pháp để mở rộng phạm vi lây nhiễm.
Các chuyên gia tại Kaspersky Lab phát hiện Roaming Mantis cố gắng lây nhiễm thiết bị iOS để đào tiền ảo. Phần mềm độc hại có tài khoản trên CoinHive, công cụ ban đầu được sử dụng để lây nhiễm PC.
Ông Suguru Ishimaru, nhà nghiên cứu bảo mật tại nhóm Nghiên cứu và Phân tích Toàn cầu Kaspersky Lab (GReAT) APAC cho biết: “Trong báo cáo đầu tiên, chúng tôi cảnh báo rằng Roaming Mantis được thiết kế nhằm tấn công và mở rộng phạm vi đến nhiều người dùng. Đúng như cái tên, chúng không ngừng mở rộng hoạt động lây nhiễm từ tháng 4 theo phạm vi và cách thức xâm nhập.
Từ lây nhiễm thiết bị Android, chúng thực hiện hoạt động lừa đảo và giờ đây đang cố gắng đào tiền từ thiết bị iOS. Bắt đầu bằng 4 ngôn ngữ tại châu Á, phần mềm độc hại này hiện đang sử dụng hơn 27 ngôn ngữ, bao gồm cả châu Âu và Trung Đông. Chúng tôi đang điều tra về danh tính các tội phạm mạng, những kẻ không hề có dấu hiệu sẽ dừng tấn công trong tương lai gần”.
Các nhà nghiên cứu cũng chú ý đến việc hacker đã áp dụng phương pháp “trial and error” – Phép thử và sai – để kiểm tra xem phương pháp nào sẽ giúp chúng lấy được nhiều tiền trong thời gian ngắn. Kẻ tấn công đã hiệu chỉnh trang của phần mềm độc hại, sử dụng trang lừa đảo của Apple và trang đào tiền ảo.
Roaming Mantis cũng đẩy mạnh tấn công và công cụ xâm nhập. Nhóm ban đầu chỉ tấn công hệ thống DNS của bộ định tuyến Wi-Fi để lây nhiễm người dùng Android ở Nhật Bản, Hàn Quốc, Ấn Độ và Bangladesh với ứng dụng bị Trojan lây nhiễm có tên facebook.apk.
Bản cập nhật mới nhất cho thấy facebook.apk đã được thay bằng sagawa.apk, phát tán qua dịch vụ gửi tin nhắn SMS. Thủ pháp này lần đầu được sử dụng vào năm ngoái bởi một nhóm tội phạm mạng khác.
Kaspersky Lab cũng phát hiện rằng kẻ tấn công phát tán phần mềm độc hại thông qua Prezi, phần mềm sử dụng nền tảng đám mây, cho phép đăng ký tài khoản miễn phí, khiến các giải pháp bảo mật gặp khó khăn trong quá trình phát hiện hoạt động lừa đảo và độc hại, vì trang web được xem là hợp pháp. Ngoài ra, nội dung chuyển hướng cho thấy Roaming Mantis đã sử dụng khuôn mẫu, điều này cho thấy Prezi cũng là hệ thống phát tán nội dung độc hại.
Bên cạnh cập nhật công cụ và phương pháp, các nhà nghiên cứu Kaspersky Lab còn phát hiện sự bất cẩn của nhóm tội phạm khi cố gắng sử dụng nhiều loại tấn công trong thời gian ngắn nhất có thể.
Roaming Mantis còn được biết đến với tên MoqHao và Xloader, bắt đầu hoạt động bằng 4 ngôn ngữ, và chỉ trong vòng 2 tháng đã thêm 20 ngôn ngữ bao gồm tiếng Bengal (Ấn Độ), tiếng Trung giản thể và phồn thể, Hindi, Indonesia, Nhật bản, Hàn Quốc, Malay, Tagalog (Philippines), Thái và tiếng Việt.
Sau lần cập nhật này, các nhà nghiên cứu đã phát hiện sự pha trộn trong môi trường ngôn ngữ, ví dụ, người dùng ở Nhật Bản sẽ nhận được tin nhắn pop-up là tiếng Hàn.
Nhóm còn sử dụng HTML thay vì URL để chuyển hướng người dùng đến nội dung độc hại, trái với cách thức Prezi hoạt động như hệ thống phát tán trong thực tế. Kết quả, trang đích không thể lây nhiễm nạn nhân mục tiêu.
“Động cơ tài chính mạnh mẽ của nhóm tin tặc khiến chúng sử dụng nhiều loại tấn công và biện pháp xâm nhập để mở rộng phạm vi hoạt động trong thời gian ngắn. Trong khi vội vã sử dụng nhiều nền tảng, ngôn ngữ, và vùng lãnh thổ khác nhau, Roaming Mantis để lại những manh mối dẫn dắt chúng tôi tìm hiểu và dự đoán bước đi tiếp theo của nó. Trong khi nhóm này có vẻ giàu về nhân lực, thời gian và tài nguyên, các nhà nghiên cứu Kaspersky Lab theo dõi từng chi tiết nhỏ nhất sẽ tiếp tục đào sâu thêm thông tin để theo sát sự phát triển của chúng”, ông Ishimaru bổ sung thêm.
Để bảo vệ thiết bị trước tấn công của Roaming Mantis, Kaspersky Lab khuyến nghị người dùng nên:
- Kiểm tra cấu hình bộ định tuyến
- Đổi tên và mật khẩu mặc định trên thiết bị, đặc biệt khi sử dụng để đào tiền ảo
- Sử dụng giải pháp bảo mật mạnh mẽ cho toàn bộ các thiết bị
- Không cho phép “Cài đặt ứng dụng không gõ nguồn gốc”
Giải pháp bảo mật của Kaspersky Lab phát hiện malware được Roaming Mantis sử dụng với tên HEUR: Trojan-Banker, AndroidOS.Wroba.e và HEUR: Trojan-Banker, AndroidOS.Wroba.al.
Theo Kaspersky