메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

Contents 공유하기

Contents 공유하기

카카오 스토리 공유하기

가입하기

Contents 공유하기

인스타그램 공유하기

가입하기

Contents 공유하기

네이버밴드 공유하기

가입하기

로밍 Mantis는 Wi-Fi 라우터를 통해 스마트 폰을 감염시킵니다.

얼마 전에 우리 전문가들은 Roaming Mantis라고 불리는 악성 코드를 조사했습니다 . 

당시에는 주로 일본, 한국, 중국, 인도, 방글라데시의 사용자들이 감염되었기 때문에 다른 지역의 상황에서는 악성 코드에 대해 논의하지 않았습니다. 그것은 국지적인 위협으로 보입니다.

하지만 보고서가 발표된 이후 한달 동안, RoamingMantis는 24개의 언어를 추가했고 전 세계로 빠르게 퍼지고 있다.

.

로밍 Mantis는 Wi-Fi 라우터를 통해 스마트 폰을 감염시킵니다.

멀웨어는 손상된 라우터를 사용하여 Android 기반 스마트 폰과 태블릿을 감염시킵니다. 그런 다음 iOS 장치를 피싱 사이트로 리디렉션하고 데스크톱 및 랩톱에서 CoinHive 암호화 스크립트를 실행합니다. 

그것은 DNS 하이재킹 (hijacking)을 통해 타겟 사용자가 무언가 잘못된 것을 감지하는 것을 어렵게 만듭니다.

DNS 하이재킹이란 무엇입니까?

브라우저 주소 표시 줄에 사이트 이름을 입력하면 브라우저가 실제로 해당 사이트로 요청을 보내지 않습니다. 그것은 할 수 없다; 

인터넷은 숫자 집합 인 IP 주소에서 작동하지만 단어가있는 도메인 이름은 사람들이 기억하고 입력하기가 더 쉽습니다.

URL을 입력하면 브라우저가 사용자에게 친숙한 이름을 해당 웹 사이트의 IP 주소로 변환하는 DNS 서버(DNS는 도메인 이름 시스템)에 요청을 보냅니다 

이 IP 주소는 브라우저가 사이트를 찾고 열 때 사용합니다.

DNS 가로 채기는 실제로 브라우저가 도메인 이름을 올바른 IP 주소와 일치 시켰다고 생각하도록 브라우저를 속일 수있는 방법입니다. IP 주소가 잘못되었지만 사용자가 입력 한 원래 URL은 브라우저 주소 표시 줄에 표시되므로 아무 것도 의심스럽지 않습니다.

DNS 하이재킹 기술이 많이 있지만 Roaming Mantis의 제작자는 가장 간단하고 효과적인 방법을 택했습니다. 손상된 라우터의 설정을 가로 채어 자신의 가짜 DNS 서버를 사용하도록 강요합니다. 즉,이 라우터에 연결된 장치의 브라우저 주소 표시 줄에 무엇을 입력했는지에 관계없이 사용자는 악의적 인 사이트로 리디렉션됩니다.

Android의 로밍 만티스

사용자가 악성 사이트로 리디렉션되면 브라우저를 업데이트하라는 메시지가 표시됩니다. chrome.apk라는 이름의 악성 앱이 다운로드 됩니다 ( facebook.apk 라는 또 다른 버전이 있습니다 ).

Android의 로밍 사마귀

악성 코드는 한 무리의 요청 권한을 , 설치 과정 등, 계정 정보에 액세스 보내 SMS 메시지, 공정 음성 통화, 기록 오디오, 액세스 파일을 수신, 다른 사람의 상단에 자신의 창을 표시하고, 할 수있는 권한을 포함. Google 크롬과 같은 신뢰할 수있는 응용 프로그램의 경우 목록이 너무 의심스럽지 않습니다. 사용자가이 "브라우저 업데이트"합법을 고려하면 목록을 읽지 않고도 권한을 부여해야합니다.

응용 프로그램을 설치 한 후 맬웨어는 계정 목록에 액세스 할 수있는 권한을 사용하여 장치에서 사용되는 Google 계정을 찾습니다. 그런 다음 사용자는 계정에 문제가 있으며 다시 로그인해야한다는 메시지 (열려있는 다른 모든 창 상단에 표시됨, 악성 코드가 요청한 다른 권한)가 표시됩니다. 그런 다음 페이지가 열리고 사용자에게 이름과 생년월일을 입력하라는 메시지가 표시됩니다.

Android의 로밍 사마귀

이 데이터는 2 단계 인증에 필요한 일회성 코드에 대한 액세스 권한을 부여하는 SMS 권한과 함께 Roaming Mantis의 제작자가 Google 계정을 도용하는 데 사용됩니다.

로밍 사마귀(맨티스) : 세계 투어, IOS 데뷔 및 광업

처음에는 Roaming Mantis가 영어, 한국어, 중국어, 일본어 등 네 가지 언어로 메시지를 표시 할 수있었습니다. 그러나 그 어딘가에서, 제작자는 확장하고 다국어 악성 코드에 또 다른 20 개의 언어를 추가하기로 결정했습니다.

    • 아랍어
    • Armenian아르메니아어
    • Bulgarian불가리아어
    • Bengali벵골
    • Czech체코어
    • Georgian조지아
    • German독일의
    • Hebrew히브리인
    • Hindi힌디어
    • Indonesian인도네시아의
    • Italian이탈리아의
    • Malay말레이
    • Polish폴란드의
    • Portuguese포르투갈의
    • Russian러시아의
    • Serbo-Croat세르비아 크로아트
    • Spanish스페인의
    • Tagalog타갈 로그
    • Thai태국어
    • Turkish터키의
    • Ukrainian우크라이나
    • Vietnamese베트남

제작자는 Roaming Mantis를 개선하여 iOS를 실행하는 기기를 공격하도록 교육했습니다. 그것은 안드로이드 공격과는 다른 시나리오입니다. iOS에서 로밍 Mantis는 애플리케이션 다운로드를 건너 뜁니다. 대신, 악의적 인 사이트는 피싱 페이지를 표시하여 사용자가 즉시 App Store에 다시 로그인하도록합니다. 신뢰성을 높이려면 주소 표시 줄에 안심 URL 인 security.apple.com이 표시됩니다 .

iOS에서 로밍 Mantis 피싱

사이버 범죄자들은 ​​도난을 Apple ID 자격증 명에 국한시키지 않습니다. 이 데이터를 입력 한 직후 사용자는 은행 카드 번호를 요청받습니다.

iOS에서 로밍 Mantis 피싱

전문가들이 밝힌 세 번째 혁신은 데스크톱 컴퓨터와 랩톱에 관한 것입니다. 이러한 장치에서 사마귀를 로밍하는 것은 CoinHive 광산 스크립트 실행 광산 암호 화폐를 똑바로 악성 코드 제작자의 주머니로 덤프합니다. 희생자의 컴퓨터 프로세서가 최대 속도로로드되어 시스템의 속도가 느려지고 방대한 양의 전력이 소비됩니다.

데스크톱 및 랩톱에서 로밍 Mantis 마이닝

Roaming Mantis에 대한 자세한 내용은 원래 보고서 에서, 새로운 Securelist 게시물은 맬웨어에 대한 최신 정보를 제공합니다 .

로밍 사마귀로부터 보호하는 방법

  • 컴퓨터와 랩톱뿐만 아니라 스마트 폰과 태블릿도 모든 장치에서 안티 바이러스 보호 를 사용하십시오 .
  • 장치에 설치된 모든 소프트웨어를 정기적으로 업데이트하십시오.
  • Android 기기에서 알 수없는 출처의 응용 프로그램 설치를 비활성화하십시오. 이 옵션은 설정 -> 보안 -> 알 수없는 소스 에서 찾을 수 있습니다 .
  • 가능한 한 자주 라우터 펌웨어를 업데이트하십시오 (라우터 설명서에서 방법을 확인하십시오). 그늘진 사이트에서 다운로드 한 비공식 펌웨어를 사용하지 마십시오.
  • 항상 라우터의 기본 관리자 암호를 변경하십시오.

로밍 사마귀가 감염된 경우해야 할 일

Kaspersky 보안 제품은 로밍 Mantis를 탐지하고 제거하므로, 귀하의 첫 번째 단계는 모든 장치에 바이러스 백신 을 설치 하고 시스템 검사를 실행하는 것입니다. 컴퓨터 및 장치에서 로밍 Mantis를 제거한 후 다시 감염시키지 않으려면 약간의 정리가 필요합니다.

  • 맬웨어에 의해 손상된 계정의 모든 암호를 변경하십시오. 로밍 사마귀 피싱 사이트에서 세부 정보를 입력 한 모든 은행 카드를 취소하십시오.
  • 라우터 관리자 암호를 변경하고 펌웨어를 업데이트하십시오. 그렇게 할 때 라우터 제조업체의 공식 웹 사이트에서만 다운로드하십시오.
  • 라우터의 설정으로 이동하여 DNS 서버 주소를 확인하십시오. 공급자가 발급 한 것과 일치하지 않는 경우 - ISP의 웹 사이트 (안전한 시스템에서 확인하십시오!)에서 찾을 수 있습니다. 또는 전화를 통해 찾을 수 있습니다 - 올바른 것으로 다시 변경하십시오.

추천 컨텐츠