Kaspersky Labは5月18日、Securelistで「Roaming Mantis dabbles in mining and phishing multilingually」と題する記事を公開しました。
Roaming Mantis dabbles in mining and phishing multilingually - Securelist
この記事は今年の3月~4月に感染が確認され話題となった、ルーターのDNS設定情報が何らかの手段で改ざんされ、「Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」「閲覧効果をよく体験するために、最新 chrome バージョンへ更新してください。」というメッセージと共にマルウェアの導入を促すページが表示される現象に関する続報です。
Kasperskyはこの攻撃手法を「Roaming Mantis」、トレンドマイクロは導入されるマルウェアを「XLOADER」と呼称しています。
対象言語の拡大
以前の当該マルウェアは4つの言語(日本語、韓国語、中国語(繁体字)、英語)を対象としていましたが、現在は大幅に増加した27言語のメッセージがダウンロードページ・マルウェア本体共に表示されるようになっているとのことです。
iOS・PCも対象に
apkファイルをダウンロード・インストールさせるという性質上、従来の状態で影響を受けるのはAndroid端末に限られていましたが、現在はiOSやPCでも被害を被る可能性が生じています。
iOS端末のブラウザで対象のページにアクセスすると、Appleのドメインであるかのような"security.apple.com"へリダイレクトされます。
https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/
通常このドメインは名前解決に失敗するため接続できませんが、"Roaming Mantis"の影響を受けているDNSサービスはこのドメインへのアクセスに対してIPアドレスを返し、ユーザーに情報詐取のためのページを開かせます。
開いたページ内ではAppleID・パスワードとクレジットカードの番号・有効期限・セキュリティコードの入力を求められ、このページも多言語(25言語)に対応しています。
加えてブラウザ上で仮想通貨のマイニングを行うスクリプト「Coinhive」も埋め込まれており、直接的に情報を抜き取られる可能性こそ低いものの、PCのブラウザからアクセスした場合にもマシンリソースを消費されることになります。
マルウェアと共に影響を受ける地域も変化
https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/
NTT東西が「Netcommunity OG」シリーズでDNS情報の改ざんによりインターネット接続が不可能になる事象を公開して話題になった2018年3月時点のものよりも、"Roaming Mantis"は大幅な変化を遂げています。
また、影響を受ける地域も変化しており、韓国や日本での検出例が多かった2018年2月~4月に対し、2018年5月1日~10日に集計されたデータではロシアやウクライナでの検出例が非常に多くなっています。
(どちらも『Trojan-Banker.AndroidOS.Wroba.al』の検出例が対象)
https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/(2018年5月)
https://blog.kaspersky.co.jp/roaming-mantis/20105/(2018年2月~4月)
国内メーカー・ISPはアップデートと管理用パスワードの変更を推奨中
国内の個人向けルーターメーカー4社(バッファロー / NECプラットフォームズ / ロジテック / アイ・オー・データ機器)は本件に関する声明を4月に公開しており、各社ともルーターのファームウェアアップデートと管理用パスワードの変更・再設定、問題が発生した際の自社への連絡を呼び掛けています。
フェイスブックの機能追加を求めるメッセージが表示される障害について | BUFFALO
不正なアプリのダウンロード案内がされる事象について|Aterm(エーターム) サポートデスク
重要なお知らせ - > インターネット上での接続障害について - ロジテック
不正なアプリのダウンロード案内が表示される事象について | IODATA アイ・オー・データ機器
また、住友電気工業及びNECプラットフォームズ製の一部ADSLモデムでも同様の事象が発生する可能性があるとして、ISPも呼び掛けを行っています。