”Roaming Mantis”。Wifiルーターをハッキング、Android端末にChromeを装うトロイの木馬を入れさせるマルウェア。

f:id:nanashi0x:20180417111158j:plain

thehackernews.com


カスペルスキーのセキュリティ研究者は、ユーザーの機密情報、ログイン資格情報、二要素認証の秘密コードを盗むAndroidバンキングマルウェアを配布するマルウェアキャンペーンに関する注意喚起を行っている。

このマルウェアは、インターネットルーターをハイジャックしてターゲットに被害を及ぼす。

この記事では、以下のポイントでこのマルウェアに関して解説していく。

 

マルウェアの概要

このマルウェアは、”Roaming Mantis”と呼ばれる。

悪意のある攻撃者は、脆弱で安全性の低いルータでDNS設定を乗っ取り、Androidユーザーを騙してマルウェアをインストールさせる。

このDNSハイジャック攻撃により、ハッカートラフィックを傍受し、Webページに不正な広告を送り、ログイン資格情報、銀行口座の詳細などの機密情報を共有するように欺くように設計されたフィッシングページにユーザーをリダイレクト出来るのだ。

以前にも存在したDNSハイジャック攻撃

悪意のある目的のためにルータのDNSをハイジャックすることは何も今に始まったことではない。

例えば、以前はDNSChangerSwitcherが存在した。

これらのマルウェアは、ワイヤレスルーターDNS設定を変更して、攻撃者によって制御される悪意のあるWebサイトにトラフィックをリダイレクトした。

Roaming Mantisの手口とは

カスペルスキーのセキュリティ研究者によって発見された”Roaming Mantis”を配布するキャンペーンの手口に関して述べる。

 

悪意のある攻撃者によって不当に設定されたDNSは、犠牲者を訪問しようとする正当なウェブサイトの偽のバージョンにリダイレクトさせる。

その際、以下のようなポップアップアラートメッセージを表示する。

"To better experience the browsing, update to the latest chrome version."

”閲覧効果を良く体験するために、最新chromeバージョンへ更新して下さい。”

f:id:nanashi0x:20180417140837p:plain

 

尚、このマルウェアキャンペーンは、以下のアジア諸国のユーザーを対象に拡散しているようだ。

 

その根拠は、以下のアラートメッセージに関するソースコードである。

見たところ、OSの言語設定を読み取るコマンドが記述されており、ハングル、簡易中国語、日本語、英語に対応している事が見て取れる。

f:id:nanashi0x:20180417140917p:plain

 

ポップアップメッセージを表示した後、Chromeブラウザを装ったRoaming Mantisをインストールする。

この時にダウンロードされるのは、Android Trojan-Bankerを含む以下の2つのトロイの木馬である。

 

ユーザーがRoaming Mantisを起動すると、以下のパーミッションを求めてくるようだ。

  • バイスのアカウント情報
  • SMS / MMSの管理
  • 通話を録音
  • オーディオの録音
  • 外部ストレージの制御
  • パッケージのチェック
  • ファイルシステムで作業する許可
  • スクリーンオーバーレイの許可

f:id:nanashi0x:20180417141609p:plain

このウィンドウで「NEXT」を押下すると、"Account No.exists risks, use after certification."というメッセージを表示する。

Googleの公式アプリであれば、ここまで文法がメチャクチャで意味の伝わらない英文を表示する事はないだろう。

このアラートメッセージにある「ENTER」を押下すると、Google Chromeに似せたウインドウが表示され、ターゲットのGoogleアカウント情報の入力を要求する。

前段階でユーザーの端末情報にアクセスする許可を与えているので、ユーザーのGmailアカウント情報を取得、表示している事が分かる。

これは言うまでもなく、ユーザーを信じ込ませる為の1つのトリックであろう。

尚、ユーザーの入力を要求するページのアドレスは、http://127.0.01:${ランダムなポート番号}/submit”である。

 

f:id:nanashi0x:20180417142038p:plain

 

ユーザーからパーミッションを得た際にSMSを閲覧する許可をRoaming Mantisは受けている。

このページで名前と生年月日を入力すれば、攻撃者はユーザーアカウントのパスワードを公式ページでリセット出来るのである。

つまり、二段階認証を突破できるのだ。

 

その他被害状況について

 このマルウェアの興味深い点は、主要な中国ソーシャルメディアのWebサイト(my.tv.sohu.com)をC2サーバーとして使用する点と、攻撃者が制御するユーザープロファイルを更新するだけで、感染したデバイスにコマンドを送信する点だ。

また、以下の表を見ればわかるように、改良されたバージョンも既に確認されており、改良版ではbaidu[.]comをC2サーバーとして使い、Base64エンコードに加えてzlibによる圧縮を行っているようだ。

f:id:nanashi0x:20180417145140p:plain

 

カスペルスキーが公開したデータによれば、Roaming Mantisのマルウェアは6,000回以上検出されたが、感染被害はわずか150人のユニークユーザーに留まった。

対策方法

感染の被害を防ぐためには、端末で接続するルーターが最新バージョンのファームウェアを実行していて、強力なパスワードで保護されていることを確認するといいだろう。

またルーターの管理者は、ルーターにあるリモート管理機能を無効にし、信頼できるDNSサーバーをオペレーティングシステムのネットワーク設定にハードコードすべきである。