Команда хакер что стоит за его распространением вредоносное ПО Roaming Mantis, обновил версию вредоносной программы для Android, включив в нее DNS-конвертер
Его метод DNS-чейнджер изменяет настройки DNS на уязвимых WiFi-маршрутизаторах, чтобы распространить инфекцию на другие устройства.
от Сентябрь 2022, исследователи безопасности заметили, что группа хакеров, стоящая за вредоносным ПО «Бродячий богомол», они приступили к распространению новой версии вредоносного ПО Wroba.o/XLoader на Android, который обнаруживает уязвимые WiFi-маршрутизаторы на основе их модели и изменяет их DNS.
Затем вредоносное ПО создает запрос HTTP вмешиваться в настройки DNS уязвимого WiFi-маршрутизатора, в результате чего подключенные устройства перенаправляются на вредоносные веб-сайты, на которых размещаются фишинговые формы или сбрасываются вредоносные программы для Android.
Новый вариант вредоносного ПО Wroba.o/XLoader для Android обнаруженный ими исследователи «Лаборатории Касперского», οι которые годами следили за трансляцией Mantis. Касперский поясняет, что Бродячий богомол использует свой метод Перехват DNS как минимум с 2018 года, но новый элемент в его недавнем выпуске заключается в том, что вредоносное ПО нацелено на определенные маршрутизаторы.
Последняя кампания с использованием этого обновленного вредоносного ПО нацелена на определенные модели маршрутизаторов WiFi, которые в основном используются в Южная Корея. Однако хакеры могут изменить его в любое время, включив в него другие маршрутизаторы, обычно используемые в других странах.
Такой подход позволяет им проводить более целенаправленные атаки и компрометировать только определенных пользователей и области, избегая обнаружения во всех остальных случаях.
Предыдущий Roaming Mantis атакует целевых пользователей из Япония, Австрия, Франция, Германия, Турция, Малайзия и Индия.
Новый преобразователь DNS маршрутизатора
Его последние выпуски Бродячий богомол использовать смс-фишинговые тексты (smishing) для направления целей на вредоносный веб-сайт.
Если устройство пользователя — Android, он попросит пользователя установить его. вредоносный APK, который загружается с вредоносное ПО Wroba.o/XLoader, а вопреки мнению пользователей Apple iOS, целевая страница будет перенаправлять пользователей на фишинговую страницу, которая пытается украсть учетные данные.
Как только вредоносное ПО XLoader установлено на Android-устройстве жертвы, оно получает IP-адрес шлюза по умолчанию от подключенного WiFi-маршрутизатора, а затем пытается получить доступ к меню администратора маршрутизатора, используя пароль по умолчанию, чтобы определить модель устройства.
XLoader Проверка модели WiFi роутера (Kaspersky)
XLoader теперь имеет функции 113 жестко заданных строк с кодом, используемым для проверки конкретных моделей маршрутизаторов WiFi, и, если совпадение найдено, вредоносное ПО продолжает взламывать DNS, изменяя настройки маршрутизатора.
Вредоносная программа выполняет изменение DNS на маршрутизаторе (Kaspersky)
Η Kaspersky утверждает, что DNS-чейнджер использует учетные данные по умолчанию (админ / админ) для доступа к маршрутизатору, а затем внесите изменения в настройки DNS различными способами в зависимости от обнаруженной модели.
Аналитики также объясняют, что DNS-сервер, используемый бродячий богомол, только изменяет определенные доменные имена на определенные целевые страницы при доступе со смартфона.
Распространение инфекции
Теперь, когда настройки DNS на маршрутизаторе изменены, когда другие устройства Android подключаются к сети Wi-Fi, они автоматически перенаправляются на вредоносную целевую страницу и запрашивают установку вредоносного ПО.
Этот факт создает постоянный поток зараженных устройств для дальнейшего взлома других чистых WiFi-роутеров в общедоступных сетях, обслуживающих большое количество людей в стране.
Η Kaspersky предупреждает, что эта функция дает команде Roaming Mantis возможность опасно расширяться, позволяя вредоносным программам распространяться беспрепятственно.
Несмотря на то, что нет целевых страниц, расположенных на США и Roaming Mantis, похоже, не нацелен на модели маршрутизаторов, используемые в стране, его статистика Kaspersky они показывают, что 10% всех жертв XLoader находятся в США.
Пользователи могут защитить себя от его атак Бродячий богомол избегание переходов по ссылкам, полученным через SMS, однако, еще важнее избегайте установки APK за пределами Google Play Store.
Не забывай следить за ним Xiaomi-miui.gr в Новости Google быть в курсе всех наших новых статей! Если вы используете RSS-ридер, вы также можете добавить нашу страницу в свой список, просто перейдя по этой ссылке >> https://news.xiaomi-miui.gr/feed/gn
Подпишитесь на нас в Telegram чтобы вы первыми узнавали все наши новости!
