Raziskovalci družbe Kaspersky so poročali o novi funkciji preklopnika DNS, ki se uporablja v operaciji Roaming Mantis. Roaming Mantis (znan tudi kot Shaoye) je ime kampanje ali operacije kibernetske kriminalitete, ki jo je Kaspersky prvič opazil leta 2018. Uporablja zlonamerne datoteke paketov Android (APK) za upravljanje okuženih naprav Android in krajo zaupnih podatkov iz naprave. Znano je tudi, da ima možnost lažnega predstavljanja za naprave iOS in funkcije kripto rudarjenja za osebne računalnike. Ime te akcije je posledica njenega širjenja prek pametnih telefonov, ki gostujejo v omrežjih Wi-Fi, kar bi lahko prenašalo in širilo okužbo.
»Javni usmerjevalniki in nova funkcija menjalnika DNS«
Kaspersky je pred kratkim odkril, da Roaming Mantis ponuja novo funkcijo spreminjanja DNS prek zlonamerne programske opreme Wroba.o (aka Agent.eq, Moqhao, XLoader). DNS changer lahko imenujemo zlonamerni program, ki preusmeri vašo napravo, povezano z ogroženim usmerjevalnikom Wi-Fi, na drug strežnik, ki ga nadzorujejo kibernetski kriminalci, namesto na zakonit strežnik DNS. V tem scenariju mora potencialna žrtev s ciljne strani, na katero naleti, prenesti zlonamerno programsko opremo, ki lahko nadzoruje napravo ali ukrade poverilnice.
Trenutno napadalci za Roaming Mantis ciljajo le na usmerjevalnike, ki se nahajajo v Južni Koreji in jih proizvaja zelo priljubljen južnokorejski prodajalec omrežne opreme. Decembra 2022 je Kaspersky opazil 508 zlonamernih prenosov APK-jev v državi.
Študija zlonamernih strani je pokazala, da so napadalci ciljali tudi na druge regije z uporabo smishinga namesto menjalnikov DNS. Ta tehnika uporablja besedilna sporočila za širjenje povezav, ki žrtev usmerijo na spletno mesto z lažnim predstavljanjem, da prenese zlonamerno programsko opremo v napravo ali ukrade uporabniške podatke.
Po statističnih podatkih Kaspersky Security Network (KSN) za september–december 2022 je najvišja stopnja odkrivanja zlonamerne programske opreme Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) v Franciji (54,4 %), na Japonskem (12,1 %) in v ZDA ( 10,1 %).
"Ko se okuženi pametni telefon poveže z 'zdravimi' usmerjevalniki na različnih javnih mestih, kot so kavarne, bari, knjižnice, hoteli, nakupovalna središča, letališča in celo domovi, se zlonamerna programska oprema Wroba.o prenese na ta usmerjevalnik," je dejal Suguru Ishimaru, Senior Security Researcher pri Kaspersky.napravah in lahko vpliva na naprave, povezane z njim. Nova funkcija menjalnika DNS lahko upravlja skoraj vsako izbiro naprave z ogroženim usmerjevalnikom Wi-Fi, kot je posredovanje zlonamernim gostiteljem in onemogočanje varnostnih posodobitev. "Verjamemo, da je to odkritje ključnega pomena za kibernetsko varnost naprav Android, saj se lahko močno razširi v ciljnih regijah."
Za zaščito vaše internetne povezave pred to okužbo raziskovalci Kaspersky priporočajo:
- Preverite priročnik za usmerjevalnik, da preverite, ali vaše nastavitve DNS niso bile spremenjene, ali pa se za podporo obrnite na svojega ponudnika internetnih storitev.
- Spremenite privzeto uporabniško ime in geslo za spletni vmesnik vašega usmerjevalnika in redno posodabljajte vdelano programsko opremo iz uradnega vira.
- Nikoli ne nameščajte programske opreme usmerjevalnika iz virov tretjih oseb. Izogibajte se tudi uporabi trgovin tretjih oseb za vaše naprave Android.
- Vedno preverite tudi naslove brskalnika in spletnih mest, da se prepričate, ali so varni; Ob pozivu za vnos podatkov ne pozabite potrditi varne povezave https://.
Najprej komentirajte