Skupina průnikář který stojí za jeho distribucí Roamingový malware Mantis, aktualizoval verzi malwaru pro Android tak, aby zahrnovala a DNS převodník
Jeho metoda DNS měnič upravuje nastavení DNS na zranitelných WiFi routerech, aby se infekce rozšířila na další zařízení.
Podle září 2022bezpečnostní výzkumníci si všimli, že skupina hackerů stojících za malwarem „Roaming Mantis“, pokračovali v distribuci nové verze malwaru Wroba.o/XLoader na Androidu, který detekuje zranitelné WiFi routery na základě jejich modelu a mění jejich DNS.
Malware poté vytvoří požadavek HTTP manipulovat s nastavením DNS zranitelného WiFi routeru, což způsobí, že připojená zařízení budou přesměrována na škodlivé webové stránky, které hostují phishingové formuláře nebo vypustí malware Android.
Nová varianta malwaru Wroba.o/XLoader pro Android jimi objevené výzkumníci Kaspersky, the kteří léta monitorují vysílací aktivitu Mantis. Kaspersky vysvětluje, že Roaming Mantis používá jeho metodu Únos DNS minimálně od roku 2018, ale novým prvkem v jeho nedávném vydání je, že malware se zaměřuje na konkrétní směrovače.
Nejnovější kampaň využívající tento aktualizovaný malware cílí na konkrétní modely WiFi routerů, které se používají hlavně v Jižní Korea. Hackeři jej však mohou kdykoli změnit tak, aby zahrnoval další směrovače běžně používané v jiných zemích.
Tento přístup jim umožňuje provádět cílenější útoky a kompromitovat pouze konkrétní uživatele a oblasti, čímž se ve všech ostatních případech vyhne detekci.
Předchozí Roaming Mantis útočí na uživatele z Japonsko, Rakousko, Francie, Německo, Turecko, Malajsie a Indie.
Nový router DNS resolver
Jeho nejnovější vydání Roaming Mantis používat phishingové SMS (smishing) k nasměrování cílů na škodlivý web.
Pokud je zařízení uživatele Android, požádá uživatele o instalaci škodlivý APK, který je nabitý malware Wroba.o/XLoader, zatímco na rozdíl od uživatelů Apple iOS, přesměruje vstupní stránka uživatele na phishingovou stránku, která se pokouší ukrást přihlašovací údaje.
Jakmile je malware XLoader nainstalován na zařízení Android oběti, získá IP adresu výchozí brány z připojeného WiFi routeru a poté se pokusí vstoupit do administrátorské nabídky routeru pomocí výchozího hesla, aby zjistil model zařízení.
Model routeru XLoader Check WiFi (Kaspersky)
XLoader nyní obsahuje 113 pevně zakódovaných řetězců s kódem používaným ke zkoumání konkrétních modelů WiFi routerů – a pokud je nalezena shoda, malware pokračuje v hackování DNS změnou nastavení routeru.
Malware provádí změnu DNS na routeru (Kaspersky)
Η Kaspersky uvádí, že DNS měnič používá výchozí přihlašovací údaje (admin / admin) pro přístup ke směrovači a poté proveďte změny nastavení DNS pomocí různých metod v závislosti na detekovaném modelu.
Analytici také vysvětlují, že server DNS používaný serverem Roaming Mantis, změní pouze názvy určitých domén na určité vstupní stránky při přístupu ze smartphonu.
Šíření infekce
Když se nyní změnilo nastavení DNS na routeru, když se jiná zařízení Android připojí k síti WiFi, budou automaticky přesměrována na škodlivou vstupní stránku a vyzvána k instalaci malwaru.
Tato skutečnost vytváří neustálý tok infikovaných zařízení k dalšímu hackování dalších čistých WiFi routerů ve veřejných sítích, které slouží velkému počtu lidí v zemi.
Η Kaspersky varuje, že tato funkce dává týmu Roaming Mantis možnost se nebezpečně rozšiřovat, což umožňuje nekontrolované šíření malwaru.
I když nejsou umístěny žádné vstupní stránky USA a Roaming Mantis se podle svých statistik aktivně nezaměřují na modely routerů používané v zemi Kaspersky ukázat, že 10 % všech obětí XLoaderu je v USA.
Uživatelé se mohou chránit před jeho útoky Roaming Mantis vyhnout se klikání na odkazy přijaté prostřednictvím SMS, je však ještě důležitější vyhněte se instalaci souboru APK mimo obchod Google Play.
Nezapomeňte se jím řídit Xiaomi-miui.gr na zprávy Google abyste byli okamžitě informováni o všech našich nových článcích! Můžete také, pokud používáte RSS čtečku, přidat naši stránku do svého seznamu jednoduše kliknutím na tento odkaz >> https://news.xiaomi-miui.gr/feed/gn
Následuj nás na Telegram abyste se o každé naší novince dozvěděli jako první!
