Gruppen af hacker som står bag distributionen Roaming Mantis malware, opdaterede Android-versionen af malwaren til at inkludere en DNS-konverter
Hans metode DNS-skifter ændrer DNS-indstillinger på sårbare WiFi-routere for at sprede infektionen til andre enheder.
Ved september 2022, bemærkede sikkerhedsforskere, at gruppen af hackere bag malware af "Roaming Mantis”, fortsatte de med at distribuere en ny version af malwaren Wroba.o/XLoader på Android, som registrerer sårbare WiFi-routere baseret på deres model, og ændrer deres DNS.
Malwaren opretter derefter en anmodning HTTP at manipulere med DNS-indstillingerne for en sårbar WiFi-router, hvilket får tilsluttede enheder til at blive omdirigeret til ondsindede websteder, der hoster phishing-formularer eller dropper Android-malware.
Den nye variant af malware Wroba.o/XLoader til Android opdaget af dem Kaspersky-forskere, det som har overvåget Mantis' udsendelsesaktivitet i årevis. Kaspersky forklarer, at Roaming Mantis bruger sin metode DNS-kapring i hvert fald siden 2018, men det nye element i dens seneste udgivelse er, at malwaren er rettet mod specifikke routere.
Den seneste kampagne, der bruger denne opdaterede malware, er rettet mod specifikke modeller af WiFi-routere, der hovedsageligt bruges i Sydkorea. Hackere kan dog til enhver tid ændre det til at inkludere andre routere, der almindeligvis bruges i andre lande.
Denne tilgang giver dem mulighed for at udføre mere målrettede angreb og kun kompromittere specifikke brugere og områder, og undgå registrering i alle andre tilfælde.
Tidligere Roaming Mantis-angreb rettet mod brugere fra Japan, Østrig, Frankrig, Tyskland, Tyrkiet, Malaysia og Indien.
En ny router DNS-resolver
Dens seneste udgaver Roaming Mantis brug SMS-phishing-tekster (smishing) for at dirigere mål til et ondsindet websted.
Hvis brugerens enhed er Android, vil den bede brugeren om at installere en ondsindet APK, som er fyldt med malware Wroba.o/XLoader, mens det er i modsætning til brugerne Apple iOS, vil landingssiden omdirigere brugere til en phishing-side, der forsøger at stjæle legitimationsoplysninger.
Når XLoader-malwaren er installeret på offerets Android-enhed, får den standardgateway-IP-adressen fra den tilsluttede WiFi-router og forsøger derefter at få adgang til routerens admin-menu ved hjælp af en standardadgangskode for at finde enhedsmodellen.
XLoader Check WiFi Router Model (Kaspersky)
XLoader funktioner nu 113 hårdkodede strenge med kode, der bruges til at sondere ind i specifikke modeller af WiFi-routere – og hvis der findes et match, fortsætter malwaren med at hacke DNS ved at ændre routerens indstillinger.
Malware udfører DNS-ændring på router (Kaspersky)
Η Kaspersky anfører, at DNS-skifter bruger standardlegitimationsoplysninger (admin / admin) for at få adgang til routeren, og foretag derefter ændringer i DNS-indstillingerne ved hjælp af forskellige metoder afhængigt af den registrerede model.
Analytikere forklarer også, at den DNS-server, der bruges af Roaming Mantis, ændrer kun bestemte domænenavne til bestemte landingssider, når de tilgås fra en smartphone.
Spredning af infektion
Med DNS-indstillingerne på routeren nu ændret, når andre Android-enheder opretter forbindelse til WiFi-netværket, vil de automatisk blive omdirigeret til den ondsindede landingsside og bedt om at installere malwaren.
Denne kendsgerning skaber en konstant strøm af inficerede enheder til yderligere at hacke andre rene WiFi-routere i offentlige netværk, der betjener et stort antal mennesker i landet.
Η Kaspersky advarer om, at denne funktion giver Roaming Mantis-teamet mulighed for at ekspandere farligt, hvilket tillader malware at sprede sig ukontrolleret.
Selvom der ikke er nogen landingssider placeret på USA og Roaming Mantis ser ikke ud til aktivt at målrette mod routermodeller i brug i landet, dets statistikker Kaspersky vise, at 10 % af alle XLoader-ofre er i USA.
Brugere kan beskytte sig mod dens angreb Roaming Mantis undgå at klikke på links modtaget via SMSer dog endnu vigtigere undgå at installere en APK uden for Google Play Butik.
Glem ikke at følge den Xiaomi-miui.gr på Google Nyheder at blive informeret med det samme om alle vores nye artikler! Du kan også, hvis du bruger RSS-læser, tilføje vores side til din liste, blot ved at følge dette link >> https://news.xiaomi-miui.gr/feed/gn
Følg os på Telegram så du er den første til at lære alle vores nyheder!
