A Kaspersky kutatói egy új DNS-váltó funkcióról számoltak be, amelyet a Roaming Mantis műveletben használnak. A Roaming Mantis (más néven Shaoye) egy kiberbűnözés elleni kampány vagy művelet neve, amelyet először a Kaspersky figyelt meg 2018-ban. Rosszindulatú Android-csomagfájlokat (APK) használ a fertőzött Android-eszközök kezelésére, és bizalmas információkat lop el az eszközről. Az is ismert, hogy rendelkezik adathalászati lehetőséggel iOS-eszközökhöz és kripto-bányászati funkciókkal a számítógépekhez. A kampány elnevezése annak köszönhető, hogy okostelefonokon keresztül terjed a roaming Wi-Fi hálózatokon, amelyek potenciálisan hordozzák és terjesztik a fertőzést.
„Nyilvános útválasztók és új DNS-váltó funkciók”
A Kaspersky nemrég fedezte fel, hogy a Roaming Mantis új DNS-váltó funkciót kínál a Wroba.o kampányrosszindulatú programon (más néven Agent.eq, Moqhao, XLoader) keresztül. Nevezhetjük a DNS-váltót olyan rosszindulatú programnak, amely átirányítja a feltört Wi-Fi útválasztóhoz csatlakoztatott eszközt egy másik, kiberbűnözők által vezérelt szerverre a legitim DNS-kiszolgáló helyett. Ebben a forgatókönyvben a potenciális áldozatot arra kérik, hogy töltsön le egy rosszindulatú programot, amely képes irányítani az eszközt vagy ellopni a hitelesítési adatokat a céloldalról, amelyre ráakad.
Jelenleg a Roaming Mantis mögött támadók csak a Dél-Koreában található és egy nagyon népszerű dél-koreai hálózati berendezések gyártója által gyártott útválasztókat veszik célba. 2022 decemberében a Kaspersky 508 rosszindulatú APK letöltést figyelt meg az országban.
A rosszindulatú oldalak tanulmányozása feltárta, hogy a támadók más régiókat is célba vettek DNS-váltók helyett smishing használatával. Ez a technika szöveges üzenetek segítségével olyan linkeket terjeszt, amelyek az áldozatot egy adathalász webhelyre irányítják, ahol rosszindulatú programokat tölthet le az eszközre, vagy ellophatja a felhasználói információkat.
A Kaspersky Security Network (KSN) 2022. szeptember és december közötti statisztikái szerint a Wroba.o kártevők (Trojan-Dropper.AndroidOS.Wroba.o) legmagasabb észlelési aránya Franciaországban (54,4%), Japánban (12,1%) és az Egyesült Államokban ( 10,1%).
„Amikor egy fertőzött okostelefon „egészséges” útválasztókhoz csatlakozik különböző nyilvános helyeken, például kávézókban, bárokban, könyvtárakban, szállodákban, bevásárlóközpontokban, repülőtereken vagy akár otthonokban, a Wroba.o kártevő erre az útválasztóra kerül” – mondta Suguru Ishimaru. A Kaspersky vezető biztonsági kutatója, és hatással lehet a hozzá csatlakoztatott eszközökre. Az új DNS-váltó funkció szinte bármilyen eszközválasztást képes kezelni a feltört Wi-Fi útválasztó használatával, például a rosszindulatú gazdagépeknek való továbbítást és a biztonsági frissítések letiltását. "Úgy gondoljuk, hogy ez a felfedezés kritikus fontosságú az Android-eszközök kiberbiztonsága szempontjából, mivel megvan a lehetőség, hogy széles körben elterjedjen a megcélzott régiókban."
A Kaspersky kutatói az alábbiakat javasolják, hogy megvédjék internetkapcsolatát a fertőzéstől:
- Ellenőrizze az útválasztó kézikönyvében, hogy nem módosították-e a DNS-beállításokat, vagy kérjen segítséget az internetszolgáltatótól.
- Módosítsa az útválasztó webes felületéhez használt alapértelmezett felhasználónevet és jelszót, és rendszeresen frissítse a firmware-t a hivatalos forrásból.
- Soha ne telepítsen harmadik féltől származó útválasztó szoftvert. Kerülje el a harmadik féltől származó üzletek használatát Android-eszközein is.
- Ezenkívül mindig ellenőrizze a böngésző- és webhelycímeket, hogy megbizonyosodjon arról, hogy biztonságosak; Ne felejtse el megerősíteni a https:// biztonságos kapcsolatot, amikor a rendszer az adatok megadását kéri.
Legyen az első, aki kommentál