DNS değiştiren yeni bir Android kötü amaçlı yazılımı, siber suçluların kafelerde, havaalanı otellerinde ve diğer halka açık yerlerde güvenliği ihlal edilmiş Wi-Fi yönlendiricileri aracılığıyla Android akıllı telefonlara kötü amaçlı yazılım bulaştırmasına olanak tanır. Şu anda Güney Kore'deki birçok kullanıcıya virüs bulaşıyor, ancak kötü amaçlı yazılım, smishing yoluyla Almanya ve Avusturya'da giderek daha fazla yayılıyor. Kaspersky uzmanları raporu.
Roaming Mantis kısa süre önce Agent.eq, Moqhao ve XLoader olarak da bilinen Wroba.o kötü amaçlı yazılımında DNS (Etki Alanı Adı Sistemi) değiştirici işlevini tanıttı - kötü amaçlı yazılım, kampanyanın temel bir parçasıdır. DNS-Changer, güvenliği ihlal edilmiş bir kablosuz yönlendiriciye bağlı cihazı meşru bir sunucu yerine siber suçluların kontrolündeki bir DNS sunucusuna yönlendiren kötü amaçlı bir programdır. Orada, kullanıcıdan bir indirme yapması istenir ve indirilen kötü amaçlı yazılım, cihazı kontrol edebilir veya kimlik bilgilerini çalabilir.
Tuzak: DNS değiştirici işlevi
Şu anda, Roaming Mantis'in arkasındaki tehdit aktörü, yalnızca Güney Kore'de bulunan ve popüler bir Güney Koreli ağ ekipmanı üreticisi tarafından üretilen yönlendiricileri hedefliyor. Bunları tanımlamak için, yeni DNS Değiştirici özelliği yönlendiricinin IP adresini alır ve yönlendiricinin modelini kontrol eder. Hedef arzu edilirse, DNS ayarlarının üzerine yazılarak cihazın güvenliği ihlal edilir. Aralık 2022'de Kaspersky, Güney Kore'de 508 kötü amaçlı APK indirmesi gözlemledi.
Gezgin Mantis Almanya ve Avusturya'da yayılıyor
Kullanıcıların yönlendirildiği kötü amaçlı web siteleri incelendiğinde, aktörlerin DNS değiştirici yerine smishing kullanarak başka bölgeleri de hedef aldıkları ortaya çıktı. Bunu, cihaza kötü amaçlı yazılım indirmek veya bir kimlik avı web sitesi aracılığıyla kullanıcı bilgilerini çalmak için kurbanı virüslü bir web sitesine yönlendiren metin mesajları yoluyla kötü amaçlı bağlantılar yayarak yapar. Kötü amaçlı APK dosyaları en sık Japonya'da indirildi (neredeyse 25.000 kez), ardından her biri yaklaşık 7.000 indirme ile Avusturya ve Fransa ve yaklaşık 6.000 indirme ile Almanya izledi. Kaspersky uzmanları, Roaming Mantis'in arkasındaki aktörlerin yakında bu ülkelerdeki WiFi yönlendiricilerine de saldırmak için DNS Değiştirici işlevini güncellemesini bekliyor.
Kaspersky telemetrisine göre, Eylül-Aralık 2022 döneminde Wroba.o kötü amaçlı yazılımının (Trojan-Dropper.AndroidOS.Wroba.o) tespit oranı Fransa (yüzde 54,4), Japonya (yüzde 12,1) ve Amerika Birleşik Devletleri'nde (10,1) oldu. yüzde) en yüksek.
Virüslü akıllı telefonlar diğer WLAN'ları etkileyebilir
"Virüslü bir akıllı telefon kafe, bar, kütüphane, otel, alışveriş merkezi, havaalanı ve hatta ev gibi halka açık bir yerde önceden virüs bulaşmamış bir yönlendiriciye bağlanırsa, Wroba.o kötü amaçlı yazılımı bu yönlendiricileri tehlikeye atabilir ve diğer bağlı cihazları da etkileyebilir. ” diye açıklıyor Kaspersky Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru. “Yeni DNS değiştirici işlevi, güvenliği ihlal edilmiş WiFi yönlendirici aracılığıyla tüm cihaz iletişimini yönetebilir. Ayrıca, kullanıcıları kötü amaçlı ana bilgisayarlara yönlendirebileceği ve güvenlik ürünü güncellemelerini devre dışı bırakabileceği anlamına gelir. Kampanya hedeflenen bölgelerde çok hızlı yayılabileceğinden, yeni işlevsellik Android cihazlar için son derece kritik.”
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi