Οι ερευνητές της Kaspersky ανέφεραν μια νέα λειτουργία εναλλαγής DNS που χρησιμοποιείται στη λειτουργία Roaming Mantis. Το Roaming Mantis (γνωστό και ως Shaoye) είναι το όνομα μιας εκστρατείας ή επιχείρησης εγκλήματος στον κυβερνοχώρο που παρατηρήθηκε για πρώτη φορά από την Kaspersky το 2018. Χρησιμοποιεί κακόβουλα αρχεία πακέτων Android (APK) για τη διαχείριση μολυσμένων συσκευών Android και την κλοπή εμπιστευτικών πληροφοριών από τη συσκευή. Είναι επίσης γνωστό ότι διαθέτει μια επιλογή phishing για συσκευές iOS και λειτουργίες εξόρυξης κρυπτογράφησης για υπολογιστές. Το όνομα αυτής της καμπάνιας οφείλεται στη διάδοσή της μέσω smartphone που περιαγωγής δικτύων Wi-Fi, δυνητικά μεταφέροντας και μεταδίδοντας τη μόλυνση.
"Δημόσιοι δρομολογητές και νέα λειτουργία αλλαγής DNS"
Η Kaspersky ανακάλυψε πρόσφατα ότι το Roaming Mantis προσφέρει μια νέα λειτουργία αλλαγής DNS μέσω του κακόβουλου λογισμικού καμπάνιας Wroba.o (γνωστός και ως Agent.eq, Moqhao, XLoader). Μπορούμε να ονομάσουμε το DNS changer ένα κακόβουλο πρόγραμμα που ανακατευθύνει τη συσκευή σας που είναι συνδεδεμένη σε έναν παραβιασμένο δρομολογητή Wi-Fi σε έναν άλλο διακομιστή που ελέγχεται από εγκλήματα στον κυβερνοχώρο αντί για έναν νόμιμο διακομιστή DNS. Σε αυτό το σενάριο, ζητείται από το πιθανό θύμα να κατεβάσει κακόβουλο λογισμικό που μπορεί να ελέγξει τη συσκευή ή να κλέψει διαπιστευτήρια, από τη σελίδα προορισμού που συναντά.
Επί του παρόντος, οι εισβολείς πίσω από το Roaming Mantis στοχεύουν μόνο δρομολογητές που βρίσκονται στη Νότια Κορέα και κατασκευάζονται από έναν πολύ δημοφιλή νοτιοκορεάτη προμηθευτή εξοπλισμού δικτύωσης. Τον Δεκέμβριο του 2022, η Kaspersky παρατήρησε 508 κακόβουλες λήψεις APK στη χώρα.
Μια μελέτη κακόβουλων σελίδων αποκάλυψε ότι οι εισβολείς στόχευαν και άλλες περιοχές χρησιμοποιώντας smishing αντί για αλλαγές DNS. Αυτή η τεχνική χρησιμοποιεί μηνύματα κειμένου για τη διάδοση συνδέσμων που κατευθύνουν το θύμα σε έναν ιστότοπο ηλεκτρονικού "ψαρέματος" για λήψη κακόβουλου λογισμικού στη συσκευή ή για κλοπή πληροφοριών χρήστη.
Σύμφωνα με στατιστικά στοιχεία του Kaspersky Security Network (KSN) για τον Σεπτέμβριο – Δεκέμβριο 2022, το υψηλότερο ποσοστό ανίχνευσης κακόβουλου λογισμικού Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) στη Γαλλία (54,4%), την Ιαπωνία (12,1%) και τις ΗΠΑ ( 10,1%).
«Όταν ένα μολυσμένο smartphone συνδέεται με «υγιεινούς» δρομολογητές σε διάφορους δημόσιους χώρους, όπως καφετέριες, μπαρ, βιβλιοθήκες, ξενοδοχεία, εμπορικά κέντρα, αεροδρόμια, ακόμη και σπίτια, το κακόβουλο λογισμικό Wroba.o μεταδίδεται σε αυτόν τον δρομολογητή», δήλωσε ο Suguru Ishimaru. Ανώτερος Ερευνητής Ασφαλείας στην Kaspersky. συσκευές και μπορεί να επηρεάσει τις συσκευές που είναι συνδεδεμένες σε αυτό. Η νέα λειτουργία αλλαγής DNS μπορεί να διαχειριστεί σχεδόν οποιαδήποτε επιλογή συσκευής χρησιμοποιώντας τον παραβιασμένο δρομολογητή Wi-Fi, όπως η προώθηση σε κακόβουλους κεντρικούς υπολογιστές και η απενεργοποίηση των ενημερώσεων ασφαλείας. «Πιστεύουμε ότι αυτή η ανακάλυψη είναι κρίσιμη για την ασφάλεια στον κυβερνοχώρο των συσκευών Android, επειδή έχει τη δυνατότητα να εξαπλωθεί ευρέως σε στοχευμένες περιοχές».
Για να προστατέψετε τη σύνδεσή σας στο Διαδίκτυο από αυτή τη μόλυνση, οι ερευνητές της Kaspersky συνιστούν:
- Ελέγξτε το εγχειρίδιο του δρομολογητή σας για να επαληθεύσετε ότι οι ρυθμίσεις σας DNS δεν έχουν παραβιαστεί ή επικοινωνήστε με τον πάροχο υπηρεσιών Διαδικτύου για υποστήριξη.
- Αλλάξτε το προεπιλεγμένο όνομα χρήστη και τον κωδικό πρόσβασης που χρησιμοποιούνται για τη διεπαφή ιστού του δρομολογητή σας και ενημερώστε το υλικολογισμικό τακτικά από την επίσημη πηγή.
- Μην εγκαθιστάτε ποτέ λογισμικό δρομολογητή από πηγές τρίτων. Αποφύγετε τη χρήση καταστημάτων τρίτων και για τις συσκευές σας Android.
- Επίσης, ελέγχετε πάντα τις διευθύνσεις του προγράμματος περιήγησης και του ιστότοπου για να βεβαιωθείτε ότι είναι ασφαλείς. Θυμηθείτε να επιβεβαιώσετε την ασφαλή σύνδεση https:// όταν σας ζητηθεί να εισαγάγετε δεδομένα.
Γίνετε ο πρώτος που θα σχολιάσει