Ryhmä hakkeri joka on sen jakelun takana Roaming Mantis haittaohjelma, päivitti haittaohjelman Android-version sisältämään a DNS-muunnin
Hänen menetelmänsä DNS -vaihtaja muuttaa haavoittuvien WiFi-reitittimien DNS-asetuksia levittääkseen tartunnan muihin laitteisiin.
Tekijä: Syyskuu 2022, tietoturvatutkijat huomasivat, että hakkeriryhmä haittaohjelmien takanaRoaming Mantis”, he jatkoivat uuden version levittämistä haittaohjelmasta Wroba.o/XLoader Androidissa, joka havaitsee haavoittuvat WiFi-reitittimet niiden mallin perusteella ja muuttaa niiden DNS:ää.
Tämän jälkeen haittaohjelma luo pyynnön HTTP peukaloida haavoittuvan WiFi-reitittimen DNS-asetuksia, jolloin liitetyt laitteet ohjataan haitallisille verkkosivustoille, jotka isännöivät tietojenkalastelulomakkeita tai pudottavat Android-haittaohjelmia.
Haittaohjelman uusi versio Wroba.o/XLoader Androidille heidän löytämänsä Kasperskyn tutkijat, the jotka ovat seuranneet Mantin lähetystoimintaa vuosia. Kaspersky selittää, että Roaming Mantis käyttää menetelmäään DNS-kaappaus ainakin vuodesta 2018 lähtien, mutta uusi elementti sen äskettäisessä julkaisussa on, että haittaohjelma kohdistuu tiettyihin reitittimiin.
Viimeisin tätä päivitettyä haittaohjelmaa käyttävä kampanja kohdistuu tiettyihin WiFi-reitittimiin, joita käytetään pääasiassa Etelä-Korea. Hakkerit voivat kuitenkin muuttaa sitä milloin tahansa sisällyttääkseen siihen muita muissa maissa yleisesti käytettyjä reitittimiä.
Tämän lähestymistavan avulla he voivat suorittaa kohdistetumpia hyökkäyksiä ja vaarantaa vain tietyt käyttäjät ja alueet välttäen havaitsemisen kaikissa muissa tapauksissa.
Aiemmat Roaming Mantis hyökkäävät kohteena oleviin käyttäjiin Japani, Itävalta, Ranska, Saksa, Turkki, Malesia ja Intia.
Uusi reitittimen DNS-selvitin
Sen uusimmat versiot Roaming Mantis käytä SMS-phishing tekstejä (smishing) ohjaamaan kohteita haitalliselle verkkosivustolle.
Jos käyttäjän laite on Android, se pyytää käyttäjää asentamaan sellaisen haitallinen APK, joka on ladattu haittaohjelma Wroba.o/XLoader, mutta toisin kuin käyttäjät Apple iOS, aloitussivu ohjaa käyttäjät tietojenkalastelusivulle, joka yrittää varastaa kirjautumistiedot.
Kun XLoader-haittaohjelma on asennettu uhrin Android-laitteeseen, se hankkii oletusyhdyskäytävän IP-osoitteen yhdistetystä WiFi-reitittimestä ja yrittää sitten päästä reitittimen järjestelmänvalvojan valikkoon oletussalasanalla löytääkseen laitteen mallin .
XLoader Check WiFi -reitittimen malli (Kaspersky)
XLoader on nyt ominaisuudet 113 kovakoodattua merkkijonoa koodilla, jolla tutkitaan tiettyjä WiFi-reitittimien malleja – ja jos vastaavuus löytyy, haittaohjelma hakkeroi DNS:n muuttamalla reitittimen asetuksia.
Haittaohjelma tekee DNS-muutoksen reitittimessä (Kaspersky)
Η Kaspersky toteaa, että DNS -vaihtaja käyttää oletustunnuksia (admin / admin) päästäksesi reitittimeen ja tee sitten muutoksia DNS-asetuksiin eri menetelmillä havaitun mallin mukaan.
Analyytikot selittävät myös, että DNS-palvelin käyttää Roaming Mantis, muuttaa vain tietyt verkkotunnukset tietyiksi aloitussivuiksi, kun niitä käytetään älypuhelimella.
Tartunnan leviäminen
Kun reitittimen DNS-asetuksia on nyt muutettu, kun muut Android-laitteet muodostavat yhteyden WiFi-verkkoon, ne ohjataan automaattisesti haitalliselle aloitussivulle ja kehotetaan asentamaan haittaohjelma.
Tämä tosiasia saa aikaan jatkuvan virran tartunnan saaneita laitteita hakkeroidakseen edelleen muita puhtaita WiFi-reitittimiä julkisissa verkoissa, jotka palvelevat suurta määrää ihmisiä maassa.
Η Kaspersky varoittaa, että tämä ominaisuus antaa Roaming Mantis -tiimille mahdollisuuden laajentua vaarallisesti, jolloin haittaohjelmat voivat levitä hallitsemattomasti.
Vaikka aloitussivuja ei ole Yhdysvallat ja Roaming Mantis ei näytä aktiivisesti kohdistavan maassa käytössä olevia reititinmalleja, sen tilastot Kaspersky näytä, että 10 % kaikista XLoaderin uhreista on Yhdysvalloissa.
Käyttäjät voivat suojautua sen hyökkäyksiltä Roaming Mantis välttää tekstiviestillä saatujen linkkien napsauttamistaon kuitenkin vielä tärkeämpää Vältä APK:n asentamista Google Play Kaupan ulkopuolelle.
Älä unohda seurata sitä Xiaomi-miui.gr at Google Uutiset saada heti tiedon kaikista uusista artikkeleistamme! Jos käytät RSS-lukijaa, voit myös lisätä sivumme listallesi seuraamalla tätä linkkiä >> https://news.xiaomi-miui.gr/feed/gn
Seuraa meitä Telegram niin saat ensimmäisenä tietää kaikki uutiset!
