Badacze z firmy Kaspersky zgłosili nową funkcję przełącznika DNS używaną w operacji Roaming Mantis. Roaming Mantis (znany również jako Shaoye) to nazwa kampanii lub operacji cyberprzestępczej, którą firma Kaspersky po raz pierwszy zaobserwowała w 2018 roku. Wykorzystuje złośliwe pliki pakietu Android (APK) do zarządzania zainfekowanymi urządzeniami z Androidem i kradzieży poufnych informacji z urządzenia. Wiadomo również, że ma opcję phishingu dla urządzeń z systemem iOS i funkcje wydobywania kryptowalut na komputery PC. Nazwa tej kampanii wynika z jej rozprzestrzeniania się za pośrednictwem smartfonów korzystających z roamingu w sieciach Wi-Fi, potencjalnie przenosząc i rozprzestrzeniając infekcję.
„Publiczne routery i nowa funkcja zmieniacza DNS”
Firma Kaspersky niedawno odkryła, że Roaming Mantis oferuje nową funkcję zmiany DNS za pośrednictwem szkodliwego oprogramowania kampanii Wroba.o (aka Agent.eq, Moqhao, XLoader). Możemy nazwać zmieniacz DNS złośliwym programem, który przekierowuje twoje urządzenie podłączone do zainfekowanego routera Wi-Fi na inny serwer kontrolowany przez cyberprzestępców zamiast legalnego serwera DNS. W tym scenariuszu potencjalna ofiara jest proszona o pobranie złośliwego oprogramowania, które może kontrolować urządzenie lub ukraść dane uwierzytelniające, ze strony docelowej, na którą się natknie.
Obecnie osoby atakujące stojące za Roaming Mantis atakują tylko routery zlokalizowane w Korei Południowej i wyprodukowane przez bardzo popularnego południowokoreańskiego dostawcę sprzętu sieciowego. W grudniu 2022 r. Kaspersky zaobserwował 508 pobrań szkodliwych plików APK w kraju.
Badanie złośliwych stron ujawniło, że atakujący atakowali również inne regiony, używając smishingu zamiast zmieniaczy DNS. Technika ta wykorzystuje wiadomości tekstowe do rozsyłania linków, które kierują ofiarę do strony phishingowej w celu pobrania złośliwego oprogramowania na urządzenie lub kradzieży informacji o użytkowniku.
Według statystyk Kaspersky Security Network (KSN) za okres wrzesień – grudzień 2022 r., najwyższy wskaźnik wykrywania szkodliwego oprogramowania Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) we Francji (54,4%), Japonii (12,1%) i USA ( 10,1%).
„Kiedy zainfekowany smartfon łączy się ze „zdrowymi” routerami w różnych miejscach publicznych, takich jak kawiarnie, bary, biblioteki, hotele, centra handlowe, lotniska, a nawet domy, złośliwe oprogramowanie Wroba.o jest przesyłane do tego routera” — powiedział Suguru Ishimaru, Starszy badacz ds. bezpieczeństwa w Kaspersky Devices i może mieć wpływ na podłączone do niego urządzenia. Nowa funkcja zmieniacza DNS może zarządzać prawie każdym wyborem urządzeń za pomocą zainfekowanego routera Wi-Fi, na przykład przekierowywać do złośliwych hostów i wyłączać aktualizacje zabezpieczeń. „Uważamy, że to odkrycie ma kluczowe znaczenie dla bezpieczeństwa cybernetycznego urządzeń z Androidem, ponieważ może się szeroko rozprzestrzenić w docelowych regionach”.
Aby chronić twoje połączenie internetowe przed tą infekcją, badacze z Kaspersky zalecają:
- Sprawdź w instrukcji obsługi routera, czy ustawienia DNS nie zostały zmienione, lub skontaktuj się ze swoim dostawcą usług internetowych w celu uzyskania pomocy.
- Zmień domyślną nazwę użytkownika i hasło używane w interfejsie internetowym routera i regularnie aktualizuj oprogramowanie układowe z oficjalnego źródła.
- Nigdy nie instaluj oprogramowania routera ze źródeł zewnętrznych. Unikaj również korzystania ze sklepów innych firm na urządzeniach z Androidem.
- Ponadto zawsze sprawdzaj adresy przeglądarki i stron internetowych, aby upewnić się, że są bezpieczne; Pamiętaj, aby potwierdzić bezpieczne połączenie https:// po wyświetleniu monitu o wprowadzenie danych.
Bądź pierwszy i skomentuj