یک تروجان اندرویدی که خود را در قالب یک برنامه ی کاربردی جا می زند، از طریق رومینگ دستگاه های تلفن همراه در شبکه های وای فای در حال توزیع و گسترش است. محققان اعلام کردند در طول ۲ ماه گذشته این بدافزار کاربران در آسیا را هدف قرار داده است. در بخش هایی از این حمله، تنظیمات DNS بر روی مسیریاب تغییر داده شده تا قربانی به سمت یک آدرس IP مخرب هدایت شود. در این وب سایت برنامه ی کاربردی جعلی میزبانی می شود.
این تروجان Roaming Mantis نام داشته و به نظر میرسد با اهداف کسب سود مالی توسط نفوذگران چینی و کرهای مورد استفاده قرار گرفته است. برنامههای جعلی که مهاجمان توسعه دادهاند facebook.apk و chrome.apk نام داشته و نفوذگران تلاش میکنند تا قربانی را به دانلود و نصب این برنامههای جعلی ترغیب کنند.
به گفتهی محققان امنیتی از شرکت کسپرسکی، وقتی کاربر به وبسایت مخرب هدایت شد، آنجا اعلانی به او نمایش داده شده و از او درخواست میشود تا بهطور مثال برای داشتن تجربهای بهتر در مرورگر، آخرین نسخهی مرورگر کروم را نصب کند. تروجان Roaming Mantis در طول نصب برای عملیاتی مانند استفاده از اینترنت، جمعآوری اطلاعات حسابهای کاربری، مدیریت پیامکها و MMS، برقراری تماس، ضبط صوت، کنترل منبع ذخیرهسازی خارجی، بررسی بستهها، کار با فایل سیستمها و نمایش پنجرههای پوششی از قربانی مجوزهایی را درخواست میکند.
بدافزار پس از نصب و راهاندازی وبسرور، یک پنجرهی پوششی را بر روی تمامی صفحات نمایش داده و با جعل صفحهی احراز هویت گوگل با آدرس ۱۲۷٫۰٫۰٫۱ صفحهای را ارائه میدهد. بدافزار از دستگاه آلوده، نام حساب کاربری گوگل را بدست آورده و با ارائهی آن از کاربر میخواهد تا نام و تاریخ تولد خود را اعلام کند تا بتواند به حساب گوگل خود دسترسی یابد.
مهاجم همچنین تلاش میکند کدهای اعتبارسنجی احراز هویت دو-مرحلهای را بدست آورد و در این راستا از مجوزهای ضبط صوت و مجوزهای خواندن/نوشتن/دریافت/ارسال پیامک و MMS میتواند استفاده کند. در کد این بدافزار ارجاعی به برخی از برنامههای محبوب بانکی و بازیها در کرهی جنوبی نیز وجود دارد.
محققان امنیتی متوجه شدهاند که این تروجان در بازههای زمانی منظم، بهروزرسانیهایی را برای کد خود دریافت میکند و همچنین برای ارتباط با سرور دستور و کنترل از پروتکلهای ایمیل استفاده میکند. تروجان اطلاعاتی مانند زبان، شماره تلفن همراه، اطلاعات دسترسی و نتایج پینگ را برای سرور دستور و کنترل ارسال میکند.
در بازهی زمانی ۹ فوریه تا ۹ آوریل در سال جاری، محققان نزدیک به ۶ هزار آلودگی به این تروجان را مشاهده کردند که تقریبا ۱۵۰ مورد از آنها کاربران منحصربفرد را تحت تاثیر قرار داده بودند. بیشترین آلودگی به این تروجان در کرهی جنوبی، بنگلادش و ژاپن گزارش شده است.
محققان اعلام کردند روزانه ۳ هزار ارتباط با سرور دستور و کنترل برقرار میشود که نشان میدهد این پویش بسیار گسترده است. این بدافزار تنها به سرقت اطلاعات اکتفا نکرده و کنترل دستگاه قربانی نیز در اختیار نفوذگران قرار میگیرد. همچنین کدهای این تروجان بهطور مداوم بهروزرسانی شده و این موضوع نشان میدهد که نفوذگران بسیار فعال هستند.