Η ομάδα των Hacker που βρίσκεται πίσω από την διανομή του κακόβουλου λογισμικού Roaming Mantis, ενημέρωσε την έκδοση του malware στο Android, ώστε να συμπεριλάβει έναν μετατροπέα του DNS
Η μέθοδος του DNS changer τροποποιεί τις ρυθμίσεις DNS σε ευάλωτους WiFi δρομολογητές, για να διαδώσει την μόλυνση και σε άλλες συσκευές.
Από τον Σεπτέμβριο του 2022, οι ερευνητές ασφαλείας παρατήρησαν ότι η ομάδα των Hackers που βρίσκονται πίσω από το malware του «Roaming Mantis», προχώρησαν στην διανομή μιας νέας έκδοσης του κακόβουλου λογισμικού Wroba.o/XLoader στο Android, που ανιχνεύει τους ευάλωτους WiFi δρομολογητές με βάση το μοντέλο τους, και αλλάζει το DNS τους.
Στη συνέχεια, το κακόβουλο λογισμικό δημιουργεί ένα αίτημα HTTP για την παραβίαση των ρυθμίσεων DNS ενός ευάλωτου δρομολογητή WiFi, προκαλώντας την αναδρομολόγηση των συνδεδεμένων συσκευών σε κακόβουλες ιστοσελίδες που φιλοξενούν φόρμες ηλεκτρονικού ψαρέματος ή απορρίπτουν κακόβουλο λογισμικό Android.
Η νέα παραλλαγή του malware Wroba.o/XLoader για το Android ανακαλύφθηκε από τους ερευνητές της Kaspersky, οι οποίοι παρακολουθούν τη δραστηριότητα μετάδοσης του Mantis εδώ και χρόνια. Η Kaspersky εξηγεί ότι το Roaming Mantis χρησιμοποιεί την μέθοδο του DNS hijacking τουλάχιστον από το 2018, αλλά το νέο στοιχείο στην πρόσφατη έκδοσή του είναι ότι το κακόβουλο λογισμικό στοχεύει σε συγκεκριμένους δρομολογητές.
Η πιο πρόσφατη καμπάνια που χρησιμοποιεί αυτό το ενημερωμένο κακόβουλο λογισμικό στοχεύει σε συγκεκριμένα μοντέλα WiFi δρομολογητών που χρησιμοποιούνται κυρίως στη Νότια Κορέα. Ωστόσο, οι χάκερς μπορούν να το αλλάξουν ανά πάσα στιγμή για να συμπεριλάβουν και άλλους δρομολογητές που χρησιμοποιούνται συνήθως σε άλλες χώρες.
Αυτή η προσέγγιση επιτρέπει τους επιτρέπει να εκτελούν πιο στοχευμένες επιθέσεις και να θέτουν σε κίνδυνο μόνο συγκεκριμένους χρήστες και περιοχές, αποφεύγοντας τον εντοπισμό σε όλες τις άλλες περιπτώσεις.
Οι προηγούμενες επιθέσεις του Roaming Mantis στόχευαν χρήστες από την Ιαπωνία, την Αυστρία, τη Γαλλία, τη Γερμανία, την Τουρκία, τη Μαλαισία και την Ινδία.
Ένας νέος μετατροπέας DNS του δρομολογητή
Οι τελευταίες εκδόσεις του Roaming Mantis χρησιμοποιούν κείμενα ηλεκτρονικού ψαρέματος μέσω SMS (smishing) για να κατευθύνουν τους στόχους σε έναν κακόβουλο ιστότοπο.
Εάν η συσκευή του χρήστη είναι Android, θα ζητήσει από τον χρήστη να εγκαταστήσει ένα κακόβουλο APK, το οποίο είναι φορτωμένο με το malware Wroba.o/XLoader, ενώ αντίθετα στους χρήστες iOS της Apple, η σελίδα προορισμού θα ανακατευθύνει τους χρήστες σε μια σελίδα ηλεκτρονικού ψαρέματος που επιχειρεί να κλέψει τα διαπιστευτήρια.
Μόλις εγκατασταθεί το κακόβουλο λογισμικό XLoader στην Android συσκευή του θύματος, λαμβάνει την προεπιλεγμένη διεύθυνση IP πύλης από τον συνδεδεμένο δρομολογητή WiFi, και στη συνέχεια, προσπαθεί να αποκτήσει πρόσβαση στο μενού του διαχειριστή του ρούτερ χρησιμοποιώντας έναν προεπιλεγμένο κωδικό πρόσβασης για να ανακαλύψει το μοντέλο της συσκευής.
Το XLoader ελέγχει το μοντέλο δρομολογητή WiFi (Kaspersky)
Το XLoader διαθέτει τώρα 113 hardcoded συμβολοσειρές με κώδικα που χρησιμοποιείται για την ανίχνευση σε συγκεκριμένα μοντέλα WiFi δρομολογητών – και αν υπάρξει αντιστοιχία, το κακόβουλο λογισμικό προχωρεί στην παραβίαση του DNS αλλάζοντας τις ρυθμίσεις του δρομολογητή.
Το κακόβουλο λογισμικό εκτελεί την αλλαγή DNS στο δρομολογητή (Kaspersky)
Η Kaspersky αναφέρει ότι το DNS changer χρησιμοποιεί προεπιλεγμένα διαπιστευτήρια (admin/admin) για να αποκτήσει πρόσβαση στον δρομολογητή, και στη συνέχεια κάνει αλλαγές στις ρυθμίσεις του DNS χρησιμοποιώντας διαφορετικές μεθόδους ανάλογα με το μοντέλο που εντοπίστηκε.
Οι αναλυτές εξηγούν επίσης ότι ο διακομιστής DNS που χρησιμοποιείται από το Roaming Mantis, αλλάζει μόνο ορισμένα ονόματα τομέα σε συγκεκριμένες σελίδες προορισμού όταν έχει πρόσβαση από ένα Smartphone.
H εξάπλωση της λοίμωξης
Με τις ρυθμίσεις του DNS στον δρομολογητή να έχουν πλέον αλλάξει, όταν άλλες Android συσκευές συνδεθούν στο δίκτυο του WiFi, θα ανακατευθυνθούν αυτόματε στην κακόβουλη σελίδα προορισμού και θα τους ζητηθεί να εγκαταστήσουν το κακόβουλο λογισμικό.
Αυτό το γεγονός δημιουργεί μια συνεχή ροή μολυσμένων συσκευών για περαιτέρω παραβίαση και άλλων καθαρών WiFi δρομολογητών σε δημόσια δίκτυα, που εξυπηρετούν μεγάλο αριθμό ατόμων στη χώρα.
Η Kaspersky προειδοποιεί ότι αυτή η δυνατότητα δίνει στην ομάδα του Roaming Mantis την ικανότητα να επεκταθεί επικίνδυνα, επιτρέποντας στο κακόβουλο λογισμικό να εξαπλωθεί χωρίς αυστηρό έλεγχο.
Παρόλο που δεν υπάρχουν σελίδες προορισμού που βρίσκονται στις ΗΠΑ και το Roaming Mantis δεν φαίνεται να στοχεύει ενεργά σε μοντέλα δρομολογητών που χρησιμοποιούνται στη χώρα, τα στατιστικά της Kaspersky δείχνουν ότι το 10% όλων των θυμάτων του XLoader βρίσκονται στις ΗΠΑ.
Οι χρήστες μπορούν να προστατευθούν από τις επιθέσεις του Roaming Mantis αποφεύγοντας να κάνουν κλικ σε συνδέσμους που λαμβάνονται μέσω SMS, ωστόσο, ακόμη πιο σημαντικό είναι να αποφύγετε την εγκατάσταση ενός APK εκτός του Google Play Store.
Μην ξεχάσετε να ακολουθήσετε το Xiaomi-miui.gr στο Google News για να ενημερώνεστε αμέσως για όλα τα νέα άρθρα μας ! Μπορείτε επίσης αν χρησιμοποιείτε RSS reader, να προσθέσετε την σελίδα μας στη λίστα σας, ακολουθώντας απλά αυτό τον σύνδεσμο >> https://xiaomi-miui.gr/feed/gn
Ακολουθήστε μας και στο Telegram ώστε να μαθαίνετε από τους πρώτους την κάθε μας είδηση!
