黑客劫持路由器DNS分发银行木马 目标瞄准中日韩等国智能手机用户

来自卡巴斯基实验室的安全研究人员在本周一发出警告称，一场由网络黑客导演的恶意活动正在上演。其目的在于通过劫持路由器DNS来分发Android银行恶意软件，以窃取受害者的敏感信息、登录凭证和双重身份验证码。

为了诱骗受害者安装被称为“Roaming Mantis”的Android恶意软件，黑客已经在易受攻击和安全性较差的路由器上劫持了DNS设置，用以将受害者重定向到恶意IP地址。

DNS劫持攻击允许黑客拦截流量，在网页上注入流氓广告，并将受害者重定向到某些网站的仿冒页面，以诱骗他们填写敏感信息，如登录凭据、银行账户详细信息等等。

劫持路由器的DNS用于恶意目的并不是什么新鲜事。根据之前的报道，诸如DNSChanger和Switcher这样的恶意软件都是通过改变无线路由器的DNS设置来将流量重定向到由攻击者控制的恶意网站。

卡巴斯基实验室的安全研究人员发现，自今年2月以来，新的恶意软件分发活动主要针对了亚洲国家的智能手机用户，其中包括韩国、中国、孟加拉国和日本。

一旦修改，黑客配置的流氓DNS设置会将受害者重定向到他们试图访问的合法网站的仿冒页面，并显示一条弹出式警告消息，该消息写道：“为了获得更好的体验浏览，请更新到最新的Chrome版本。”

毫无疑问，这个Android版本的Chrome浏览器应用程序就是由用于分发Roaming Mantis的恶意应用程序伪装的。该应用需要被授予一些权限才能够完成收集设备帐户信息的任务，如管理SMS/MMS和通话、录制音频、控制外部存储、检查软件安装包、使用文件系统以及覆盖窗口等。

一旦安装完成，恶意应用程序会立即覆盖其他所有窗口，以显示虚假警告消息，其内容为：“帐号存在风险，请在认证之后使用”。

再点击确定之后，Roaming Mantis会启动设备上的浏览器以打开仿冒的谷歌网站页面，要求受害者填写他们的姓名和出生日期。

为了说服受害者相信他们的确是将这些信息提交给了谷歌，仿冒页面会显示通过在受感染设备上收集到的受害者Gmail电子邮件ID，如上面的屏幕截图所示。

安全研究人员查看了所有恶意网页的HTML源代码，无论是恶意应用分发页面还是信息填写页面，它们似乎都支持四种语言环境：韩文、简体中文、日文和英文。

由于Roaming Mantis恶意软件已经通过最开始在恶意应用程序安装时获取到了在设备上读取和写入SMS的权限，因此黑客此时完全可以窃取受害者填写的信息以及受害者账户的双重身份验证码。

在分析恶意软件代码的同时，安全研究人员发现该软件包含了许多韩国主流手机银行和游戏应用程序的Android应用程序ID。而恶意软件也的确集中在韩国，韩语是恶意网页的HTML源代码中出现最多的语言。

根据安全研究人员的调查结果，似乎恶意应用程序最初就是分发给韩国目标的。随后才增加了对中文、英文和日文的支持，扩大了其在亚洲地区的目标基础，而目前大多数受害者也都位于韩国、日本、印度和孟加拉国。

进一步的调查还显示，Roaming Mantis恶意软件使用了我国国内领先的社交媒体网站之一的搜狐视频自媒体（my.tv.sohu[.]com）作为其命令与控制（C&C）服务器，并通过更新由攻击者控制的用户配置文件向受感染设备发送命令。

根据卡巴斯基的遥测数据，黑客在2018年2月9日至4月9日期间将受害者重定向到恶意站点达6000多次。尽管他们目前似乎只会劫持来自150个唯一IP地址的流量，但安全研究人员仍建议我们将自己的路由器固件更新到最新版本并更改路由器管理界面的默认登录名和密码。

另外，安全研究人员还建议我们应禁用路由器的远程管理功能，并将可信的DNS服务器手动填写到操作系统的网络设置中。