Групата на Hacker който стои зад разпространението му Зловреден софтуер на Roaming Mantis, актуализира Android версията на злонамерения софтуер, за да включи a DNS конвертор
Неговият метод DNS чейнджър променя DNS настройките на уязвими WiFi рутери, за да разпространи инфекцията на други устройства.
от септември 2022 г, изследователите по сигурността забелязаха, че групата хакери зад зловредния софтуер на „Богомолка”, те продължиха да разпространяват нова версия на зловреден софтуер Wroba.o/XLoader на Android, който открива уязвими WiFi рутери въз основа на техния модел и променя техния DNS.
След това зловредният софтуер създава заявка HTTP за подправяне на настройките на DNS на уязвим WiFi рутер, причинявайки пренасочване на свързаните устройства към злонамерени уебсайтове, които хостват фишинг формуляри или изпускат зловреден софтуер за Android.
Новият вариант на зловреден софтуер Wroba.o/XLoader за Android открити от тях Изследователи на Kaspersky, на които следят излъчванията на Mantis от години. Касперски обяснява, че Богомолка използва своя метод Отвличане на DNS поне от 2018 г, но новият елемент в скорошната му версия е, че злонамереният софтуер е насочен към конкретни рутери.
Последната кампания, използваща този актуализиран злонамерен софтуер, е насочена към конкретни модели WiFi рутери, които се използват главно в Южна Кореа. Въпреки това, хакерите могат да го променят по всяко време, за да включат други рутери, често използвани в други страни.
Този подход им позволява да извършват по-насочени атаки и да компрометират само конкретни потребители и области, като избягват откриването във всички останали случаи.
Предишни атаки на Roaming Mantis бяха насочени към потребители от Япония, Австрия, Франция, Германия, Турция, Малайзия и Индия.
Нов DNS резолвер на рутер
Последните му издания Богомолка използвайте SMS фишинг текстове (смазващ) за насочване на цели към злонамерен уебсайт.
Ако устройството на потребителя е Android, то ще поиска от потребителя да инсталира такова злонамерен APK, който е зареден с зловреден софтуер Wroba.o/XLoader, докато в противоречие с потребителите Apple iOS, целевата страница ще пренасочи потребителите към фишинг страница, която се опитва да открадне идентификационни данни.
След като злонамереният софтуер XLoader бъде инсталиран на устройството с Android на жертвата, той получава IP адреса на шлюза по подразбиране от свързания WiFi рутер и след това се опитва да влезе в администраторското меню на рутера, като използва парола по подразбиране, за да открие модела на устройството.
XLoader Проверете модела на WiFi рутера (Kaspersky)
XLoader вече има функции 113 твърдо кодирани низа с код, използван за изследване на конкретни модели WiFi рутери – и ако се намери съвпадение, злонамереният софтуер продължава да хакне DNS, като променя настройките на рутера.
Зловреден софтуер извършва промяна на DNS на рутер (Kaspersky)
Η Kaspersky заявява, че DNS чейнджър използва идентификационни данни по подразбиране (администратор / администратор), за да получите достъп до рутера, и след това направете промени в настройките на DNS, като използвате различни методи в зависимост от открития модел.
Анализаторите също така обясняват, че DNS сървърът, използван от Богомолка, само променя определени имена на домейни към определени целеви страници, когато е достъпен от смартфон.
Разпространението на инфекцията
Тъй като DNS настройките на рутера вече са променени, когато други устройства с Android се свържат към WiFi мрежата, те автоматично ще бъдат пренасочени към злонамерената целева страница и ще бъдат подканени да инсталират зловреден софтуер.
Този факт създава постоянен поток от заразени устройства за допълнително хакване на други чисти WiFi рутери в обществени мрежи, обслужващи голям брой хора в страната.
Η Kaspersky предупреждава, че тази функция дава на екипа на Roaming Mantis способността да се разширява опасно, позволявайки на зловреден софтуер да се разпространява безконтролно.
Въпреки че няма разположени целеви страници САЩ и Roaming Mantis изглежда не се насочва активно към моделите на рутери, използвани в страната, според неговата статистика Kaspersky показват, че 10% от всички жертви на XLoader са в САЩ.
Потребителите могат да се защитят от неговите атаки Богомолка избягване на кликване върху връзки, получени чрез SMS, обаче е още по-важно избягвайте инсталирането на APK извън Google Play Store.
Не забравяйте да го следвате Xiaomi-miui.gr в Google Новини да бъдете информирани незабавно за всички наши нови статии! Можете също така, ако използвате RSS четец, да добавите нашата страница към вашия списък, като просто следвате тази връзка >> https://news.xiaomi-miui.gr/feed/gn
Следвай ни в Telegram така че вие първи да научите всяка новина!
