Grupul de hacker care se află în spatele distribuţiei sale Malware Roaming Mantis, a actualizat versiunea Android a malware-ului pentru a include a convertor DNS
Metoda lui Schimbător DNS modifică setările DNS pe routerele WiFi vulnerabile pentru a răspândi infecția la alte dispozitive.
De la Septembrie 2022, cercetătorii de securitate au observat că grupul de hackeri din spatele malware-ului „Mantisă rătăcitoare”, au procedat la distribuirea unei noi versiuni a malware-ului Wroba.o/XLoader pe Android, care detectează routerele WiFi vulnerabile pe baza modelului lor și le schimbă DNS.
Malware-ul creează apoi o solicitare HTTP pentru a modifica setările DNS ale unui router WiFi vulnerabil, determinând redirecționarea dispozitivelor conectate către site-uri web rău intenționate care găzduiesc formulare de phishing sau eliminarea programelor malware Android.
Noua variantă a malware-ului Wroba.o/XLoader pentru Android descoperit de ei Cercetătorii Kaspersky, the care monitorizează de ani de zile activitatea de difuzare a lui Mantis. Kaspersky explică că Mantisă rătăcitoare folosește metoda lui Securizarea DNS cel putin din 2018, dar noul element din lansarea sa recentă este că malware-ul vizează anumite routere.
Cea mai recentă campanie care utilizează acest malware actualizat vizează modele specifice de routere WiFi care sunt utilizate în principal Coreea de Sud. Cu toate acestea, hackerii o pot schimba oricând pentru a include alte routere utilizate în mod obișnuit în alte țări.
Această abordare le permite să efectueze atacuri mai direcționate și să compromită doar utilizatori și zone specifice, evitând detectarea în toate celelalte cazuri.
Atacurile anterioare Roaming Mantis au vizat utilizatorii din Japonia, Austria, Franța, Germania, Turcia, Malaezia și India.
Un nou rezolutor DNS de router
Ultimele sale ediții Mantisă rătăcitoare utilizați texte SMS de phishing (mirosind) pentru a direcționa ținte către un site web rău intenționat.
Dacă dispozitivul utilizatorului este Android, acesta va cere utilizatorului să instaleze unul APK rău intenționat, care este încărcat cu malware Wroba.o/XLoader, în timp ce contrar utilizatorilor Apple iOS, pagina de destinație va redirecționa utilizatorii către o pagină de phishing care încearcă să fure acreditările.
Odată ce malware-ul XLoader este instalat pe dispozitivul Android al victimei, acesta obține adresa IP implicită a gateway-ului de la routerul WiFi conectat și apoi încearcă să acceseze meniul de administrare al routerului folosind o parolă implicită pentru a descoperi modelul dispozitivului .
XLoader Verificați modelul de router WiFi (Kaspersky)
XLoader dispune acum 113 șiruri de caractere hardcoded cu codul folosit pentru a investiga modele specifice de routere WiFi – și dacă se găsește o potrivire, malware-ul continuă să pirateze DNS prin modificarea setărilor routerului.
Malware efectuează schimbarea DNS pe router (Kaspersky)
Η Kaspersky afirmă că Schimbător DNS folosește acreditările implicite (admin / admin) pentru a accesa routerul, apoi faceți modificări la setările DNS folosind diferite metode în funcție de modelul detectat.
Analiștii explică, de asemenea, că serverul DNS folosit de Mantisă rătăcitoare, modifică doar anumite nume de domenii în anumite pagini de destinație atunci când sunt accesate de pe un smartphone.
Răspândirea infecției
Cu setările DNS de pe router schimbate acum, atunci când alte dispozitive Android se conectează la rețeaua WiFi, acestea vor fi redirecționate automat către pagina de destinație rău intenționată și vor fi solicitate să instaleze malware-ul.
Acest fapt creează un flux constant de dispozitive infectate pentru a pirata în continuare alte routere WiFi curate din rețelele publice, deservind un număr mare de oameni din țară.
Η Kaspersky avertizează că această caracteristică oferă echipei Roaming Mantis capacitatea de a se extinde periculos, permițând malware-ului să se răspândească necontrolat.
Chiar dacă nu există pagini de destinație localizate pe Statele Unite ale Americii iar Roaming Mantis nu pare să vizeze în mod activ modelele de routere utilizate în țară, statisticile sale Kaspersky arata ca 10% din toate victimele XLoader sunt în SUA.
Utilizatorii se pot proteja de atacurile sale Mantisă rătăcitoare evitând clicul pe linkurile primite prin SMS, cu toate acestea, este și mai important evitați instalarea unui APK în afara Magazinului Google Play.
Nu uitați să-l urmați Xiaomi-miui.gr la Știri Google pentru a fi informat imediat despre toate articolele noastre noi! De asemenea, dacă utilizați un cititor RSS, puteți adăuga pagina noastră la lista dvs., pur și simplu urmând acest link >> https://news.xiaomi-miui.gr/feed/gn
Urmareste-ne pe Telegramă pentru ca tu să fii primul care află toate știrile noastre!
