Исследователи «Лаборатории Касперского» сообщили о новой функции переключателя DNS, используемой в операции Roaming Mantis. Roaming Mantis (также известный как Shaoye) — название кампании или операции, связанной с киберпреступностью, впервые обнаруженной «Лабораторией Касперского» в 2018 году. Он использует файлы вредоносных пакетов Android (APK) для управления зараженными устройствами Android и кражи конфиденциальной информации с устройства. Также известно, что у него есть функция фишинга для устройств iOS и функции крипто-майнинга для ПК. Название этой кампании связано с ее распространением через смартфоны, перемещающиеся по сетям Wi-Fi, которые потенциально являются переносчиками и распространителями инфекции.
«Общедоступные маршрутизаторы и новая функциональность DNS-чейнджера»
«Лаборатория Касперского» недавно обнаружила, что Roaming Mantis предлагает новую функцию смены DNS через вредоносное ПО кампании Wroba.o (он же Agent.eq, Moqhao, XLoader). Мы можем назвать DNS changer вредоносной программой, которая перенаправляет ваше устройство, подключенное к скомпрометированному маршрутизатору Wi-Fi, на другой сервер, контролируемый злоумышленниками, вместо легитимного DNS-сервера. В этом сценарии потенциальную жертву просят загрузить вредоносное ПО, которое может управлять устройством или украсть учетные данные, с целевой страницы, с которой они сталкиваются.
В настоящее время злоумышленники, стоящие за Roaming Mantis, нацелены только на маршрутизаторы, расположенные в Южной Корее и произведенные очень популярным южнокорейским поставщиком сетевого оборудования. В декабре 2022 года «Лаборатория Касперского» зафиксировала 508 загрузок вредоносных APK в стране.
Изучение вредоносных страниц показало, что злоумышленники также нацеливались на другие регионы, используя smishing вместо DNS-чейнджеров. Этот метод использует текстовые сообщения для распространения ссылок, которые направляют жертву на фишинговый сайт для загрузки вредоносного ПО на устройство или кражи информации о пользователе.
Согласно статистике Kaspersky Security Network (KSN) за сентябрь – декабрь 2022 г., самый высокий уровень обнаружения вредоносного ПО Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) во Франции (54,4%), Японии (12,1%) и США ( 10,1%).
«Когда зараженный смартфон подключается к «исправным» маршрутизаторам в различных общественных местах, таких как кафе, бары, библиотеки, отели, торговые центры, аэропорты и даже дома, вредоносное ПО Wroba.o передается на этот маршрутизатор», — сказал Сугуру Исимару, Senior Security Research в Kaspersky.devices и может влиять на подключенные к нему устройства. Новая функция смены DNS может управлять практически любым выбором устройств с использованием скомпрометированного маршрутизатора Wi-Fi, например переадресацией на вредоносные хосты и отключением обновлений безопасности. «Мы считаем, что это открытие имеет решающее значение для кибербезопасности устройств Android, поскольку оно может широко распространиться в целевых регионах».
Чтобы защитить ваше интернет-соединение от этой инфекции, исследователи «Лаборатории Касперского» рекомендуют:
- Проверьте руководство вашего маршрутизатора, чтобы убедиться, что ваши настройки DNS не были изменены, или обратитесь за поддержкой к своему интернет-провайдеру.
- Измените имя пользователя и пароль по умолчанию, используемые для веб-интерфейса вашего маршрутизатора, и регулярно обновляйте прошивку из официального источника.
- Никогда не устанавливайте программное обеспечение маршрутизатора из сторонних источников. Также избегайте использования сторонних магазинов для своих устройств Android.
- Кроме того, всегда проверяйте адреса браузеров и веб-сайтов, чтобы убедиться, что они безопасны; Не забудьте подтвердить защищенное соединение https:// при появлении запроса на ввод данных.
Будьте первым, кто оставит отзыв