Ang grupo ng Hacker na nasa likod ng pamamahagi nito Roaming Mantis malware, na-update ang bersyon ng Android ng malware upang isama ang isang DNS converter
Ang kanyang pamamaraan DNS changer binabago ang mga setting ng DNS sa mga mahihinang WiFi router upang maikalat ang impeksyon sa iba pang mga device.
Sa pamamagitan ng Setyembre 2022, napansin ng mga mananaliksik sa seguridad na ang grupo ng mga hacker sa likod ng malware ng “Roaming Mantis”, nagpatuloy sila sa pamamahagi ng bagong bersyon ng malware Wroba.o/XLoader sa Android, na nakakakita ng mga mahihinang WiFi router batay sa kanilang modelo, at binabago ang kanilang DNS.
Lumilikha ang malware ng isang kahilingan HTTP upang pakialaman ang mga setting ng DNS ng isang mahinang WiFi router, na nagiging sanhi ng pag-redirect ng mga konektadong device sa mga nakakahamak na website na nagho-host ng mga phishing form o nag-drop ng Android malware.
Ang bagong variant ng malware Wroba.o/XLoader para sa Android natuklasan nila Mga mananaliksik ng Kaspersky, ang na sinusubaybayan ang aktibidad ng broadcast ni Mantis sa loob ng maraming taon. Ipinaliwanag ng Kaspersky na ang Roaming Mantis gumagamit ng kanyang pamamaraan Pag-hijack ng DNS hindi bababa sa mula noong 2018, ngunit ang bagong elemento sa kamakailang paglabas nito ay ang malware ay nagta-target ng mga partikular na router.
Ang pinakabagong campaign na gumagamit ng na-update na malware na ito ay nagta-target ng mga partikular na modelo ng mga WiFi router na pangunahing ginagamit sa Timog Korea. Gayunpaman, maaaring baguhin ito ng mga hacker anumang oras upang isama ang iba pang mga router na karaniwang ginagamit sa ibang mga bansa.
Binibigyang-daan sila ng diskarteng ito na magsagawa ng mas maraming naka-target na pag-atake at ikompromiso lamang ang mga partikular na user at lugar, na iniiwasan ang pagtuklas sa lahat ng iba pang kaso.
Inaatake ng nakaraang Roaming Mantis ang mga naka-target na user mula sa Japan, Austria, France, Germany, Turkey, Malaysia at India.
Isang bagong DNS resolver ng router
Ang pinakabagong mga edisyon nito Roaming Mantis gumamit ng mga text ng SMS phishing (nakakainis) upang idirekta ang mga target sa isang nakakahamak na website.
Kung Android ang device ng user, hihilingin nito sa user na mag-install ng isa malisyosong APK, na puno ng malware Wroba.o/XLoader, habang salungat sa mga gumagamit Apple iOS, ire-redirect ng landing page ang mga user sa isang phishing page na sumusubok na magnakaw ng mga kredensyal.
Kapag na-install na ang XLoader malware sa Android device ng biktima, nakukuha nito ang default na gateway IP address mula sa nakakonektang WiFi router, at pagkatapos ay susubukang i-access ang admin menu ng router gamit ang default na password upang matuklasan ang modelo ng device .
XLoader Check WiFi Router Model (Kaspersky)
Nagtatampok na ngayon ang XLoader 113 hardcoded na mga string gamit ang code na ginamit upang suriin ang mga partikular na modelo ng mga WiFi router – at kung may nakitang tugma, magpapatuloy ang malware sa pag-hack ng DNS sa pamamagitan ng pagbabago sa mga setting ng router.
Ang malware ay nagsasagawa ng pagbabago ng DNS sa router (Kaspersky)
Η Kaspersky nagsasaad na ang DNS changer gumagamit ng mga default na kredensyal (admin / admin) upang ma-access ang router, at pagkatapos ay gumawa ng mga pagbabago sa mga setting ng DNS gamit ang iba't ibang pamamaraan depende sa nakitang modelo.
Ipinaliwanag din ng mga analyst na ang DNS server na ginagamit ng Roaming Mantis, nagpapalit lang ng ilang partikular na domain name sa ilang landing page kapag na-access mula sa isang Smartphone.
Ang pagkalat ng impeksyon
Dahil binago na ngayon ang mga setting ng DNS sa router, kapag kumonekta ang ibang mga Android device sa WiFi network, awtomatiko silang ire-redirect sa malisyosong landing page at ipo-prompt na i-install ang malware.
Ang katotohanang ito ay lumilikha ng patuloy na daloy ng mga nahawaang device upang higit pang i-hack ang iba pang malinis na WiFi router sa mga pampublikong network, na nagsisilbi sa isang malaking bilang ng mga tao sa bansa.
Η Kaspersky nagbabala na ang tampok na ito ay nagbibigay sa koponan ng Roaming Mantis ng kakayahang lumawak nang mapanganib, na nagpapahintulot sa malware na kumalat nang walang check.
Kahit na walang mga landing page na matatagpuan sa USA at Roaming Mantis ay hindi lumilitaw na aktibong nagta-target ng mga modelo ng router na ginagamit sa bansa, ang mga istatistika nito Kaspersky ipakita na ang 10% ng lahat ng biktima ng XLoader ay nasa US.
Maaaring protektahan ng mga user ang kanilang sarili mula sa mga pag-atake nito Roaming Mantis pag-iwas sa pag-click sa mga link na natanggap sa pamamagitan ng SMS, gayunpaman, ay mas mahalaga iwasang mag-install ng APK sa labas ng Google Play Store.
Huwag kalimutang sundan ito Xiaomi-miui.gr sa Google News upang maipaalam kaagad tungkol sa lahat ng aming mga bagong artikulo! Maaari mo ring kung gumagamit ka ng RSS reader, idagdag ang aming pahina sa iyong listahan sa pamamagitan lamang ng pagsunod sa link na ito >> https://news.xiaomi-miui.gr/feed/gn
Sundan kami sa Telegrama para ikaw ang unang makaalam ng bawat balita namin!
