Дослідники Kaspersky повідомили про нову функцію перемикача DNS, яка використовується в операції Roaming Mantis. Roaming Mantis (також відомий як Shaoye) — це назва кіберзлочинної кампанії або операції, яку Kaspersky вперше спостерігав у 2018 році. Він використовує шкідливі файли пакетів Android (APK) для керування зараженими пристроями Android і крадіжки конфіденційної інформації з пристрою. Також відомо, що він має опцію фішингу для пристроїв iOS і функції криптомайнінгу для ПК. Назва цієї кампанії пов’язана з її розповсюдженням через смартфони, що пересуваються в мережах Wi-Fi, потенційно переносячи та поширюючи інфекцію.
«Загальнодоступні маршрутизатори та нова функція зміни DNS»
Нещодавно Kaspersky виявив, що Roaming Mantis пропонує нову функцію зміни DNS за допомогою зловмисного програмного забезпечення Wroba.o (він же Agent.eq, Moqhao, XLoader). Ми можемо назвати DNS changer шкідливою програмою, яка перенаправляє ваш пристрій, підключений до скомпрометованого маршрутизатора Wi-Fi, на інший сервер, контрольований кіберзлочинцями, замість законного сервера DNS. У цьому сценарії потенційну жертву просять завантажити шкідливе програмне забезпечення, яке може контролювати пристрій або викрадати облікові дані, із цільової сторінки, на яку вона натрапляє.
Наразі зловмисники, що стоять за Roaming Mantis, націлені лише на маршрутизатори, розташовані в Південній Кореї та виготовлені дуже популярним південнокорейським постачальником мережевого обладнання. У грудні 2022 року Kaspersky зафіксував 508 завантажень шкідливих APK в країні.
Дослідження шкідливих сторінок показало, що зловмисники також націлювалися на інші регіони, використовуючи smishing замість DNS-чейнджерів. Ця техніка використовує текстові повідомлення для розповсюдження посилань, які спрямовують жертву на фішинговий сайт, щоб завантажити зловмисне програмне забезпечення на пристрій або викрасти інформацію користувача.
Згідно зі статистикою Kaspersky Security Network (KSN) за вересень – грудень 2022 року, найвищий рівень виявлення шкідливих програм Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) у Франції (54,4%), Японії (12,1%) та США ( 10,1%).
«Коли заражений смартфон підключається до «справних» маршрутизаторів у різних громадських місцях, таких як кафе, бари, бібліотеки, готелі, торгові центри, аеропорти та навіть будинки, шкідливе програмне забезпечення Wroba.o передається на цей маршрутизатор», — сказав Сугуру Ішімару, Senior Security Research у Kaspersky.пристрої та може вплинути на підключені до нього пристрої. Нова функція зміни DNS може керувати майже будь-яким вибором пристрою за допомогою скомпрометованого маршрутизатора Wi-Fi, наприклад, пересилати на шкідливі хости та вимикати оновлення безпеки. «Ми вважаємо, що це відкриття має вирішальне значення для кібербезпеки пристроїв Android, оскільки воно має потенціал для широкого поширення в цільових регіонах».
Щоб захистити ваше інтернет-з’єднання від цієї інфекції, дослідники Kaspersky рекомендують:
- Перевірте посібник до свого маршрутизатора, щоб переконатися, що ваші налаштування DNS не були підроблені, або зверніться до свого постачальника послуг Інтернету для підтримки.
- Змініть ім’я користувача та пароль за умовчанням, які використовуються для веб-інтерфейсу маршрутизатора, і регулярно оновлюйте мікропрограму з офіційного джерела.
- Ніколи не встановлюйте програмне забезпечення маршрутизатора зі сторонніх джерел. Також уникайте використання сторонніх магазинів для своїх пристроїв Android.
- Крім того, завжди перевіряйте веб-переглядач і адреси веб-сайтів, щоб переконатися, що вони безпечні; Не забудьте підтвердити безпечне з’єднання https://, коли буде запропоновано ввести дані.
Першим залиште коментар