Ekibi Hacker dağıtımının arkasında olan Roaming Mantis kötü amaçlı yazılımı, eklemek için kötü amaçlı yazılımın Android sürümünü güncelledi. DNS dönüştürücü
Onun yöntemi DNS değiştirici enfeksiyonu diğer cihazlara yaymak için savunmasız WiFi yönlendiricilerindeki DNS ayarlarını değiştirir.
Tarafından Eylül 2022, güvenlik araştırmacıları, kötü amaçlı yazılımın arkasındaki bilgisayar korsanı grubunun “Gezici Mantis”, kötü amaçlı yazılımın yeni bir sürümünü dağıtmaya başladılar. Android'de Wroba.o/XLoader, modellerine göre savunmasız WiFi yönlendiricilerini algılar ve DNS'lerini değiştirir.
Kötü amaçlı yazılım daha sonra bir istek oluşturur HTTP savunmasız bir WiFi yönlendiricisinin DNS ayarlarını kurcalamak, bağlı cihazların kimlik avı formları barındıran veya Android kötü amaçlı yazılım bırakan kötü amaçlı web sitelerine yönlendirilmesine neden olmak.
Kötü amaçlı yazılımın yeni çeşidi Android için Wroba.o/XLoader onlar tarafından keşfedildi Kaspersky araştırmacıları, Xoxi Mantis'in yayın faaliyetini yıllardır izleyenler. Kaspersky açıklıyor Gezici Mantis onun yöntemini kullanır DNS kaçırma en azından 2018'dan beri, ancak son sürümündeki yeni unsur, kötü amaçlı yazılımın belirli yönlendiricileri hedeflemesidir.
Bu güncellenmiş kötü amaçlı yazılımın kullanıldığı en son kampanya, çoğunlukla şu alanlarda kullanılan belirli WiFi yönlendirici modellerini hedefliyor: Güney Kore. Ancak bilgisayar korsanları, diğer ülkelerde yaygın olarak kullanılan diğer yönlendiricileri dahil etmek için herhangi bir zamanda değiştirebilir.
Bu yaklaşım, diğer tüm durumlarda tespit edilmekten kaçınarak daha hedefli saldırılar gerçekleştirmelerine ve yalnızca belirli kullanıcıları ve alanları tehlikeye atmalarına olanak tanır.
Önceki Roaming Mantis saldırıları, Japonya, Avusturya, Fransa, Almanya, Türkiye, Malezya ve Hindistan.
Yeni bir yönlendirici DNS çözümleyici
En son sürümleri Gezici Mantis SMS kimlik avı metinleri kullanın (smishing) hedefleri kötü amaçlı bir web sitesine yönlendirmek için.
Kullanıcının cihazı Android ise, kullanıcıdan bir tane yüklemesini ister. kötü amaçlı APKile yüklenen kötü amaçlı yazılım Wroba.o/XLoader, kullanıcıların aksine Apple iOSaçılış sayfası, kullanıcıları kimlik bilgilerini çalmaya çalışan bir kimlik avı sayfasına yönlendirecektir.
XLoader kötü amaçlı yazılımı kurbanın Android cihazına yüklendikten sonra, bağlı WiFi yönlendiricisinden varsayılan ağ geçidi IP adresini alır ve ardından cihaz modelini keşfetmek için varsayılan bir parola kullanarak yönlendiricinin yönetici menüsüne erişmeye çalışır.
XLoader şimdi özellikleri 113 sabit kodlu dizi belirli WiFi yönlendirici modellerini araştırmak için kullanılan kodla – ve bir eşleşme bulunursa, kötü amaçlı yazılım, yönlendiricinin ayarlarını değiştirerek DNS'yi hacklemeye devam eder.
Η Kaspersky belirtir DNS değiştirici varsayılan kimlik bilgilerini kullanır (admin / yönetici) yönlendiriciye erişin ve ardından algılanan modele bağlı olarak farklı yöntemler kullanarak DNS ayarlarında değişiklik yapın.
Analistler ayrıca, sunucu tarafından kullanılan DNS sunucusunun gezgin peygamber devesi, bir Akıllı Telefondan erişildiğinde yalnızca belirli alan adlarını belirli açılış sayfalarına değiştirir.
enfeksiyonun yayılması
Yönlendiricideki DNS ayarları artık değiştirildiğinden, diğer Android cihazları WiFi ağına bağlandığında, otomatik olarak kötü amaçlı açılış sayfasına yönlendirilecek ve kötü amaçlı yazılımı yüklemeleri istenecektir.
Bu gerçek, ülkedeki çok sayıda insana hizmet veren, genel ağlardaki diğer temiz WiFi yönlendiricilerini daha fazla hacklemek için sürekli bir virüslü cihaz akışı yaratır.
Η Kaspersky bu özelliğin Roaming Mantis ekibine tehlikeli bir şekilde genişleme yeteneği verdiği ve kötü amaçlı yazılımın kontrolsüz bir şekilde yayılmasına izin verdiği konusunda uyarıyor.
Sitede herhangi bir açılış sayfası bulunmamasına rağmen Amerika Birleşik Devletleri ve Roaming Mantis'in ülkede kullanımda olan yönlendirici modellerini aktif olarak hedeflediği görülmemektedir, istatistikleri Kaspersky bunu gösteriyorlar Tüm XLoader kurbanlarının %10'u ABD'de.
Kullanıcılar kendilerini saldırılarından koruyabilir Gezici Mantis SMS yoluyla alınan bağlantılara tıklamaktan kaçınmak, ancak, daha da önemlidir Google Play Store dışında bir APK yüklemekten kaçının.
takip etmeyi unutmayın Xiaomi-miui.gr at Google Haberler tüm yeni yazılarımızdan hemen haberdar olmak için! Ayrıca RSS okuyucu kullanıyorsanız bu bağlantıyı takip ederek sayfamızı listenize ekleyebilirsiniz >> https://news.xiaomi-miui.gr/feed/gn
Bizi takip edin Telegram Böylece her haberimizi ilk öğrenen siz olursunuz!