Група од хакер који стоји иза његове дистрибуције Роаминг Мантис малвер, је ажурирала Андроид верзију малвера тако да укључује а ДНС конвертор
Његов метод ДНС мењач мења ДНС подешавања на рањивим ВиФи рутерима да би се инфекција проширила на друге уређаје.
Од стране септембра 2022, истраживачи безбедности су приметили да група хакера стоји иза малвера „Роаминг Мантис“, наставили су са дистрибуцијом нове верзије малвера Вроба.о/КСЛоадер на Андроиду, који детектује рањиве ВиФи рутере на основу њиховог модела и мења њихов ДНС.
Малвер тада креира захтев ХТТП да мењате ДНС подешавања рањивог ВиФи рутера, што доводи до тога да повезани уређаји буду преусмерени на злонамерне веб локације које хостују пхисхинг форме или испуштају Андроид малвер.
Нова варијанта малвера Вроба.о/КСЛоадер за Андроид откривен од њих Касперски истраживачи, тхе који годинама прате Мантисову радиодифузну активност. Касперски објашњава да Роаминг Мантис користи свој метод ДНС отмица најмање од 2018, али нови елемент у његовом недавном издању је да малвер циља одређене рутере.
Најновија кампања која користи овај ажурирани малвер циља на одређене моделе ВиФи рутера који се углавном користе Νοτια Κορεα. Међутим, хакери га могу променити у било ком тренутку како би укључили друге рутере који се обично користе у другим земљама.
Овај приступ им омогућава да изводе циљаније нападе и компромитују само одређене кориснике и области, избегавајући откривање у свим другим случајевима.
Претходни Роаминг Мантис напади циљали су кориснике из Јапан, Аустрија, Француска, Немачка, Турска, Малезија и Индија.
Нови ДНС резолвер рутера
Његова најновија издања Роаминг Мантис користите СМС пхисхинг текстове (смисхинг) да усмерите циљеве на злонамерну веб локацију.
Ако је уређај корисника Андроид, од корисника ће се тражити да га инсталира малициоус АПК, који је напуњен са малвер Вроба.о/КСЛоадер, док је супротно корисницима Аппле иОС, одредишна страница ће преусмерити кориснике на страницу за „пецање“ која покушава да украде акредитиве.
Када се КСЛоадер малвер инсталира на Андроид уређај жртве, добија подразумевану ИП адресу мрежног пролаза са повезаног ВиФи рутера, а затим покушава да приступи администраторском менију рутера користећи подразумевану лозинку да би открио модел уређаја.
КСЛоадер Проверите модел ВиФи рутера (Касперски)
КСЛоадер сада има функције 113 тврдо кодираних стрингова са кодом који се користи за испитивање одређених модела ВиФи рутера – и ако се пронађе подударање, малвер наставља да хакује ДНС променом подешавања рутера.
Малвер врши промену ДНС-а на рутеру (Касперски)
Η Касперски наводи да је ДНС мењач користи подразумеване акредитиве (админ / админ) да бисте приступили рутеру, а затим извршили промене у ДНС подешавањима користећи различите методе у зависности од откривеног модела.
Аналитичари такође објашњавају да је ДНС сервер који користи лутајућа богомољка, само мења одређене називе домена у одређене одредишне странице када им се приступа са паметног телефона.
Ширење инфекције
Пошто су ДНС подешавања на рутеру сада промењена, када се други Андроид уређаји повежу на ВиФи мрежу, они ће аутоматски бити преусмерени на злонамерну одредишну страницу и од њих ће бити затражено да инсталирају малвер.
Ова чињеница ствара сталан проток заражених уређаја за даље хаковање других чистих ВиФи рутера у јавним мрежама, опслужујући велики број људи у земљи.
Η Касперски упозорава да ова функција даје тиму Роаминг Мантис могућност да се опасно шири, дозвољавајући малверу да се шири неконтролисано.
Иако нема одредишних страница на сад и Роаминг Мантис изгледа да не циља активно моделе рутера који се користе у земљи, његове статистике Касперски показати да је 10% свих жртава КСЛоадер-а је у САД.
Корисници се могу заштитити од његових напада Роаминг Мантис избегавање кликања на линкове примљене путем СМС-а, међутим, још је важније избегавајте инсталирање АПК-а ван Гоогле Плаи продавнице.
Не заборавите да га пратите Ксиаоми-миуи.гр у Гоогле вести да будете одмах обавештени о свим нашим новим чланцима! Такође можете, ако користите РСС читач, додати нашу страницу на своју листу, једноставно пратећи овај линк >> https://news.xiaomi-miui.gr/feed/gn
Пратите нас на Telegram па да први сазнаш сваку нашу вест!
