时时勤拂拭,勿使惹尘埃

TOC

Categories

iOS/Malware(九)Roaming Mantis


概述

Roaming Mantis系列是卡巴斯基发现的一套涉及Android、Windows、iOS、路由器等平台,使用DNS劫持传播的恶意代码,相关信息如下:
Roaming Mantis uses DNS hijacking to infect Android smartphones
Roaming Mantis dabbles in mining and phishing multilingually
Roaming Mantis part III: iOS crypto-mining and spreading via malicious content delivery system
之前对其中Android相关恶意代码(卡巴最初只公布了少数部分,其实还有更多迭代版本)进行过深度分析及拓线溯源,但因某些原因不便放出,故这里只好梳理一下iOS相关信息。

攻击方式

网络钓鱼

根据卡巴报告,Roaming Mantis iOS攻击并未出现相应平台的恶意代码,而是感染路由器后,路由器进行的DNS劫持攻击。
当用户通过iOS设备连接到目标网页时,用户将被重定向到“http://security.apple.com/”:
该地址实际并不存在,所以正常情况是无法访问的。而感染了恶意代码的路由器DNS服务则将此域解析为IP地址172.247.116.155,从而展示一个模仿Apple网站的网络钓鱼页面,浏览器的地址栏中则会显示非常令人放心的域名“security.apple.com”,然后可以轻易的诱导受害者填写Apple ID和信用卡等信息,另外这个钓鱼页面的HTML源代码支持25种语言:

JS挖矿

攻击者在后续的版本中修改了iOS相关的攻击代码,如图注销了展示钓鱼页面,出现了执行挖矿的JavaScript代码,该JS脚本之前用于攻击PC平台(参考Mining is the new black):
如果受害者从iOS设备访问此页面,Web浏览器中只会显示空白页。然而在后台CPU使用率立即增加到90%:

小结

此次事件虽然并未出现iOS相关恶意代码,但依然出现了利用路由器DNS劫持来攻击iOS平台的攻击模式,无论是展示钓鱼网站还是利用iOS设备挖矿,无一不说明了即便系统本身再安全,攻击者依然能从其他方向对你进行攻击,尤其黑产。

0 评论:

发表评论