Gruppen av hacker som ligger bakom dess distribution Skadlig programvara för Roaming Mantis, uppdaterade Android-versionen av skadlig programvara för att inkludera en DNS-omvandlare
Hans metod DNS-växlare ändrar DNS-inställningar på sårbara WiFi-routrar för att sprida infektionen till andra enheter.
Förbi september 2022, märkte säkerhetsforskare att gruppen av hackare bakom skadlig programvara av "Roaming Mantis” fortsatte de med att distribuera en ny version av skadlig programvara Wroba.o/XLoader på Android, som upptäcker sårbara WiFi-routrar baserat på deras modell, och ändrar deras DNS.
Skadlig programvara skapar sedan en begäran HTTP att manipulera DNS-inställningarna för en sårbar WiFi-router, vilket gör att anslutna enheter omdirigeras till skadliga webbplatser som är värd för nätfiskeformulär eller släpper skadlig programvara från Android.
Den nya varianten av skadlig programvara Wroba.o/XLoader för Android upptäckt av dem Kaspersky-forskare, de som har övervakat Mantis sändningsaktivitet i flera år. Kaspersky förklarar att Roaming Mantis använder sin metod DNS-kapning åtminstone sedan 2018, men det nya inslaget i den senaste versionen är att skadlig programvara riktar sig mot specifika routrar.
Den senaste kampanjen som använder denna uppdaterade skadliga programvara riktar sig till specifika modeller av WiFi-routrar som huvudsakligen används i Sydkorea. Hackare kan dock ändra det när som helst för att inkludera andra routrar som ofta används i andra länder.
Detta tillvägagångssätt låter dem utföra mer riktade attacker och kompromissa endast specifika användare och områden, och undviker upptäckt i alla andra fall.
Tidigare Roaming Mantis-attacker riktade sig mot användare från Japan, Österrike, Frankrike, Tyskland, Turkiet, Malaysia och Indien.
En ny router DNS-lösare
Dess senaste upplagor Roaming Mantis använd SMS phishing-texter (smishing) för att rikta mål till en skadlig webbplats.
Om användarens enhet är Android kommer den att be användaren att installera en skadlig APK, som är laddad med skadlig kod Wroba.o/XLoader, samtidigt som det strider mot användare Apple iOS, kommer målsidan att omdirigera användare till en nätfiskesida som försöker stjäla autentiseringsuppgifter.
När skadlig programvara XLoader har installerats på offrets Android-enhet, erhåller den standardgateway-IP-adressen från den anslutna WiFi-routern och försöker sedan komma åt routerns adminmeny med ett standardlösenord för att upptäcka enhetsmodellen.
XLoader Check WiFi Router Model (Kaspersky)
XLoader har nu funktioner 113 hårdkodade strängar med kod som används för att undersöka specifika modeller av WiFi-routrar – och om en matchning hittas fortsätter skadlig programvara att hacka DNS genom att ändra routerns inställningar.
Skadlig programvara utför DNS-ändring på routern (Kaspersky)
Η kaspersky anger att DNS-växlare använder standardinloggningsuppgifter (admin / admin) för att komma åt routern och gör sedan ändringar i DNS-inställningarna med olika metoder beroende på vilken modell som upptäckts.
Analytiker förklarar också att DNS-servern som används av Roaming Mantis, ändrar endast vissa domännamn till vissa målsidor när de nås från en smartphone.
Smittspridning
Med DNS-inställningarna på routern nu ändrade, när andra Android-enheter ansluter till WiFi-nätverket, omdirigeras de automatiskt till den skadliga målsidan och uppmanas att installera skadlig programvara.
Detta faktum skapar ett konstant flöde av infekterade enheter för att ytterligare hacka andra rena WiFi-routrar i offentliga nätverk, som betjänar ett stort antal människor i landet.
Η kaspersky varnar för att den här funktionen ger Roaming Mantis-teamet möjligheten att expandera farligt, vilket gör att skadlig programvara kan spridas okontrollerat.
Även om det inte finns några målsidor på USA och Roaming Mantis verkar inte aktivt rikta in sig på routermodeller som används i landet, dess statistik kaspersky visa att 10 % av alla XLoaders offer är i USA.
Användare kan skydda sig från dess attacker Roaming Mantis undvika att klicka på länkar som tas emot via SMSär dock ännu viktigare undvik att installera en APK utanför Google Play Butik.
Glöm inte att följa den Xiaomi-miui.gr vid Google Nyheter för att omedelbart bli informerad om alla våra nya artiklar! Du kan också, om du använder RSS-läsare, lägga till vår sida i din lista, helt enkelt genom att följa denna länk >> https://news.xiaomi-miui.gr/feed/gn
Följ oss på Telegram så att du är den första som får reda på alla våra nyheter!
