Kaspersky: Mã độc Roaming Mantis vẫn hoạt động mạnh, lây lan sang thiết bị iOS

Trong thông tin phát ra mới đây, Công ty an ninh mạng toàn cầu Kaspersky Lab cho biết, các chuyên gia của hãng phát hiện Roaming Mantis đang cố gắng lây nhiễm thiết bị iOS để đào tiền ảo. Phần mềm độc hại có tài khoản trên CoinHive - công cụ ban đầu được sử dụng để lây nhiễm PC.

Ông Suguru Ishimaru, nhà nghiên cứu bảo mật tại nhóm Nghiên cứu và Phân tích toàn cầu Kaspersky Lab APAC cho biết, trong báo cáo đầu tiên, Kaspersky Lab cảnh báo rằng Roaming Mantis được thiết kế nhằm tấn công và mở rộng phạm vi đến nhiều người dùng.

Nhà nghiên cứu bảo mật của Kasperky, ông Suguru Ishimaru chia sẻ thông tin về Roaming Mantis tại Kaspersky Lab APAC Cyber Security Weekend 2018 (Nguồn ảnh: Kaspersky Lab)

“Đúng như cái tên, mã độc này không ngừng mở rộng hoạt động lây nhiễm từ tháng 4/2018 theo phạm vi và cách thức xâm nhập. Từ lây nhiễm thiết bị Android, chúng thực hiện hoạt động lừa đảo và giờ đây đang cố gắng đào tiền từ thiết bị iOS. Bắt đầu bằng 4 ngôn ngữ tại châu Á, phần mềm độc hại này hiện đang sử dụng hơn 27 ngôn ngữ, bao gồm cả châu Âu và Trung Đông. Chúng tôi đang điều tra về danh tính các tội phạm mạng, những kẻ không hề có dấu hiệu sẽ dừng tấn công trong tương lai gần”, ông Suguru Ishimaru cho hay.

Cũng theo Kaspersky, các nhà nghiên cứu của hãng cũng chú ý đến việc hacker đã áp dụng phương pháp “trial and error” - “Phép thử và sai” để kiểm tra xem phương pháp nào sẽ giúp chúng lấy được nhiều tiền trong thời gian ngắn. Kẻ tấn công đã hiệu chỉnh trang của phần mềm độc hại, sử dụng trang lừa đảo của Apple và trang đào tiền ảo.

Cùng với đó, Roaming Mantis cũng đẩy mạnh tấn công và công cụ xâm nhập. Nhóm hacker ban đầu chỉ tấn công hệ thống DNS của bộ định tuyến Wi-Fi để lây nhiễm người dùng Android ở Nhật Bản, Hàn Quốc, Ấn Độ và Bangladesh với ứng dụng bị Trojan lây nhiễm có tên “facebook.apk”.

Bản cập nhật mới nhất cho thấy “facebook.apk” đã được thay bằng “sagawa.apk”, phát tán qua dịch vụ gửi tin nhắn SMS. Thủ pháp này lần đầu được sử dụng vào năm ngoái bởi một nhóm tội phạm mạng khác.

Kaspersky Lab cũng phát hiện rằng kẻ tấn công phát tán phần mềm độc hại thông qua Prezi, phần mềm sử dụng nền tảng đám mây, cho phép đăng ký tài khoản miễn phí, khiến các giải pháp bảo mật gặp khó khăn trong quá trình phát hiện hoạt động lừa đảo và độc hại, vì trang web được xem là hợp pháp. Ngoài ra, nội dung chuyển hướng cho thấy Roaming Mantis đã sử dụng khuôn mẫu, điều này cho thấy Prezi cũng là hệ thống phát tán nội dung độc hại.

Để bảo vệ thiết bị trước tấn công của mã độc Roaming Mantis, Kaspersky Lab cũng khuyên người dùng cần sử dụng giải pháp bảo mật mạnh mẽ cho toàn bộ các thiết bị; và không cài đặt các ứng dụng không rõ nguồn gốc. (Ảnh minh họa. Nguồn: Internet)

Cùng với việc cập nhật công cụ và phương pháp, các nhà nghiên cứu Kaspersky Lab còn phát hiện sự bất cẩn của nhóm tội phạm mạng khi cố gắng sử dụng nhiều loại tấn công trong thời gian ngắn nhất có thể. 

Roaming Mantis còn được biết đến với tên “MoqHao” và “Xloader”, bắt đầu hoạt động bằng 4 ngôn ngữ, và chỉ trong vòng 2 tháng đã thêm 20 ngôn ngữ bao gồm tiếng Bengal (Ấn Độ), tiếng Trung giản thể và phồn thể, Hindi, Indonesia, Nhật bản, Hàn Quốc, Malay, Tagalog (Philippines), Thái và tiếng Việt.

Sau lần cập nhật này, các nhà nghiên cứu đã phát hiện sự pha trộn trong môi trường ngôn ngữ, chẳng hạn như người dùng ở Nhật Bản sẽ nhận được tin nhắn “pop-up” là tiếng Hàn. Nhóm này còn sử dụng HTML thay vì URL để chuyển hướng người dùng đến nội dung độc hại, trái với cách thức Prezi hoạt động như hệ thống phát tán trong thực tế. Kết quả, trang đích không thể lây nhiễm nạn nhân mục tiêu.

 “Động cơ tài chính mạnh mẽ của nhóm tin tặc khiến chúng sử dụng nhiều loại tấn công và biện pháp xâm nhập để mở rộng phạm vi hoạt động trong thời gian ngắn. Trong khi vội vã sử dụng nhiều nền tảng, ngôn ngữ, và vùng lãnh thổ khác nhau, Roaming Mantis để lại những manh mối dẫn dắt chúng tôi tìm hiểu và dự đoán bước đi tiếp theo của nó. Trong khi nhóm này có vẻ giàu về nhân lực, thời gian và tài nguyên, các nhà nghiên cứu Kaspersky Lab theo dõi từng chi tiết nhỏ nhất sẽ tiếp tục đào sâu thêm thông tin để theo sát sự phát triển của chúng”, ông Suguru Ishimaru bổ sung.

Để bảo vệ thiết bị trước tấn công của mã độc đào tiền ảo Roaming Mantis, Kaspersky Lab khuyến nghị người dùng nên kiểm tra cấu hình bộ định tuyến; đổi tên và mật khẩu mặc định trên thiết bị, đặc biệt khi sử dụng để đào tiền ảo.

Kaspersky Lab cũng khuyên người dùng cần sử dụng giải pháp bảo mật mạnh mẽ cho toàn bộ các thiết bị; và không cài đặt các ứng dụng không rõ nguồn gốc.