El grup de Hacker que està darrere de la seva distribució Programari maliciós Roaming Mantis, ha actualitzat la versió d'Android del programari maliciós per incloure a Convertidor DNS
El seu mètode Canviador de DNS modifica la configuració de DNS en encaminadors WiFi vulnerables per estendre la infecció a altres dispositius.
Per setembre 2022, els investigadors de seguretat van notar que el grup de pirates informàtics darrere del programari maliciós de "Mantis itinerant”, van procedir a distribuir una nova versió del malware Wroba.o/XLoader a Android, que detecta encaminadors WiFi vulnerables segons el seu model i canvia el seu DNS.
Aleshores, el programari maliciós crea una sol·licitud HTTP per alterar la configuració del DNS d'un encaminador WiFi vulnerable, fent que els dispositius connectats es redirigeixen a llocs web maliciosos que allotgen formularis de pesca o que eliminin programari maliciós d'Android.
La nova variant del programari maliciós Wroba.o/XLoader per a Android descobert per ells Investigadors de Kaspersky, el que fa anys que segueixen l'activitat d'emissió de Mantis. Kaspersky explica que el Mantis itinerant utilitza el seu mètode Segrest de DNS almenys des del 2018, però el nou element del seu llançament recent és que el programari maliciós s'adreça a encaminadors específics.
La darrera campanya que utilitza aquest programari maliciós actualitzat s'adreça a models específics d'encaminadors WiFi que s'utilitzen principalment Corea del Sud. Tanmateix, els pirates informàtics poden canviar-ho en qualsevol moment per incloure altres encaminadors que s'utilitzen habitualment en altres països.
Aquest enfocament els permet realitzar atacs més dirigits i comprometre només usuaris i àrees concretes, evitant la detecció en tots els altres casos.
Els atacs anteriors de Roaming Mantis van dirigir usuaris des de Japó, Àustria, França, Alemanya, Turquia, Malàisia i l'Índia.
Un nou solucionador de DNS d'encaminador
Les seves darreres edicions Mantis itinerant utilitzar textos de pesca SMS (Smishing) per dirigir objectius a un lloc web maliciós.
Si el dispositiu de l'usuari és Android, li demanarà que n'instal·li un APK maliciós, que es carrega amb el programari maliciós Wroba.o/XLoader, tot i que al contrari dels usuaris Apple iOS, la pàgina de destinació redirigirà els usuaris a una pàgina de pesca que intenta robar les credencials.
Un cop instal·lat el programari maliciós XLoader al dispositiu Android de la víctima, obté l'adreça IP de la passarel·la predeterminada de l'encaminador WiFi connectat i després intenta accedir al menú d'administració de l'encaminador mitjançant una contrasenya predeterminada per descobrir el model del dispositiu .
XLoader Comprova el model d'encaminador WiFi (Kaspersky)
Ara inclou XLoader 113 cadenes codificades en dur amb el codi utilitzat per investigar models específics d'encaminadors WiFi, i si es troba una coincidència, el programari maliciós passa a piratejar el DNS canviant la configuració de l'encaminador.
El programari maliciós realitza un canvi de DNS a l'encaminador (Kaspersky)
Η Kaspersky afirma que el Canviador de DNS utilitza credencials predeterminades (admin / admin) per accedir a l'encaminador i, a continuació, fer canvis a la configuració del DNS mitjançant diferents mètodes segons el model detectat.
Els analistes també expliquen que el servidor DNS utilitzat per Mantis itinerant, només canvia determinats noms de domini a determinades pàgines de destinació quan s'hi accedeix des d'un telèfon intel·ligent.
La propagació de la infecció
Amb la configuració de DNS de l'encaminador ara canviada, quan altres dispositius Android es connectin a la xarxa WiFi, es redirigiran automàticament a la pàgina de destinació maliciosa i se'ls demanarà que instal·lin el programari maliciós.
Aquest fet crea un flux constant de dispositius infectats per piratejar encara més encaminadors WiFi nets a les xarxes públiques, donant servei a un gran nombre de persones al país.
Η Kaspersky adverteix que aquesta característica ofereix a l'equip de Roaming Mantis la capacitat d'expandir-se perillosament, permetent que el programari maliciós es propagui sense control.
Tot i que no hi ha pàgines de destinació localitzades EUA i Roaming Mantis no sembla orientar-se activament als models d'encaminador que s'utilitzen al país, segons les seves estadístiques Kaspersky demostrar que el El 10% de totes les víctimes de XLoader es troben als EUA.
Els usuaris poden protegir-se dels seus atacs Mantis itinerant evitant fer clic als enllaços rebuts per SMS, però, és encara més important evita instal·lar un APK fora de Google Play Store.
No us oblideu de seguir-lo Xiaomi-miui.gr en Google News per estar informat immediatament de tots els nostres nous articles! També podeu, si feu servir el lector RSS, afegir la nostra pàgina a la vostra llista, simplement seguint aquest enllaç >> https://news.xiaomi-miui.gr/feed/gn
Segueix-nos a telegram perquè siguis el primer a conèixer totes les nostres notícies!
