Kaspersky-forskere har rapportert om en ny DNS-bytterfunksjon brukt i Roaming Mantis-operasjonen. Roaming Mantis (også kjent som Shaoye) er navnet på en nettkriminalitetskampanje eller -operasjon som først ble observert av Kaspersky i 2018. Den bruker ondsinnede Android-pakkefiler (APK) for å administrere infiserte Android-enheter og stjele konfidensiell informasjon fra enheten. Det er også kjent for å ha et phishing-alternativ for iOS-enheter og kryptomining-funksjoner for PC-er. Navnet på denne kampanjen er på grunn av dens spredning gjennom smarttelefoner som roamer Wi-Fi-nettverk, og potensielt bærer og sprer infeksjonen.
"Offentlige rutere og ny DNS-vekslerfunksjonalitet"
Kaspersky oppdaget nylig at Roaming Mantis tilbyr en ny funksjonalitet for DNS-veksler via kampanjens skadevare Wroba.o (aka Agent.eq, Moqhao, XLoader). Vi kan kalle DNS changer et ondsinnet program som omdirigerer enheten din koblet til en kompromittert Wi-Fi-ruter til en annen nettkriminell-kontrollert server i stedet for en legitim DNS-server. I dette scenariet blir det potensielle offeret bedt om å laste ned skadelig programvare som kan kontrollere enheten eller stjele legitimasjon, fra landingssiden de kommer over.
Foreløpig er angriperne bak Roaming Mantis kun rettet mot rutere som befinner seg i Sør-Korea og produsert av en veldig populær sørkoreansk leverandør av nettverksutstyr. I desember 2022 observerte Kaspersky 508 ondsinnede APK-nedlastinger i landet.
En studie av ondsinnede sider avslørte at angripere også siktet mot andre regioner ved å bruke smishing i stedet for DNS-vekslere. Denne teknikken bruker tekstmeldinger til å spre lenker som leder offeret til et phishing-nettsted for å laste ned skadelig programvare på enheten eller stjele brukerinformasjon.
I følge Kaspersky Security Network (KSN)-statistikk for september – desember 2022, den høyeste gjenkjenningsraten for Wroba.o-malware (Trojan-Dropper.AndroidOS.Wroba.o) i Frankrike (54,4 %), Japan (12,1 %) og USA ( 10,1 %).
"Når en infisert smarttelefon kobles til 'sunne' rutere på forskjellige offentlige steder, som kafeer, barer, biblioteker, hoteller, kjøpesentre, flyplasser og til og med hjem, overføres Wroba.o-malwaren til denne ruteren," sa Suguru Ishimaru. Senior Security Researcher hos Kaspersky.-enheter og kan påvirke enhetene som er koblet til den. Den nye DNS-vekslerfunksjonaliteten kan administrere nesten alle enhetsvalg ved å bruke den kompromitterte Wi-Fi-ruteren, for eksempel videresending til ondsinnede verter og deaktivering av sikkerhetsoppdateringer. "Vi tror denne oppdagelsen er avgjørende for cybersikkerheten til Android-enheter fordi den har potensial til å spre seg bredt i målrettede regioner."
For å beskytte internettforbindelsen din mot denne infeksjonen, anbefaler Kaspersky-forskere:
- Sjekk ruterens bruksanvisning for å bekrefte at DNS-innstillingene ikke er blitt tuklet med, eller kontakt Internett-leverandøren for støtte.
- Endre standard brukernavn og passord som brukes for ruterens nettgrensesnitt og oppdater fastvaren regelmessig fra den offisielle kilden.
- Installer aldri ruterprogramvare fra tredjepartskilder. Unngå å bruke tredjepartsbutikker for Android-enhetene dine også.
- Sjekk også alltid nettleser- og nettsideadresser for å sikre at de er trygge; Husk å bekrefte https:// sikker tilkobling når du blir bedt om å legge inn data.
Vær den første til å kommentere