Нове зловмисне програмне забезпечення для Android, яке змінює DNS, дозволяє кіберзлочинцям заражати Android-смартфони зловмисним програмним забезпеченням через скомпрометовані маршрутизатори Wi-Fi у кафе, готелях аеропортів та інших громадських місцях. Багато користувачів у Південній Кореї наразі заражені, але зловмисне програмне забезпечення все більше поширюється в Німеччині та Австрії через smishing. Про це повідомляють експерти Kaspersky.
Roaming Mantis нещодавно представив функцію зміни DNS (система доменних імен) у зловмисному програмному забезпеченні Wroba.o, також відомому як Agent.eq, Moqhao та XLoader — зловмисне програмне забезпечення є основною частиною кампанії. DNS-Changer — це шкідлива програма, яка спрямовує пристрій, підключений до скомпрометованого бездротового маршрутизатора, на контрольований кіберзлочинцями DNS-сервер замість легального. Там користувачеві пропонується завантажити, і завантажене шкідливе програмне забезпечення може контролювати пристрій або викрадати облікові дані.
Пастка: функція зміни DNS
Наразі загроза, що стоїть за Roaming Mantis, спрямована лише на маршрутизатори, розташовані в Південній Кореї та виготовлені популярним південнокорейським виробником мережевого обладнання. Щоб визначити їх, нова функція DNS Changer отримує IP-адресу маршрутизатора та перевіряє модель маршрутизатора. Якщо мета є бажаною, пристрій скомпрометовано шляхом перезапису налаштувань DNS. У грудні 2022 року Kaspersky зафіксував 508 завантажень шкідливих APK у Південній Кореї.
Богомол поширюється в Німеччині та Австрії
Аналізуючи шкідливі веб-сайти, на які перенаправляли користувачів, з’ясувалося, що зловмисники також націлені на інші регіони, використовуючи smishing замість DNS-чейнджера. Це робиться шляхом розповсюдження шкідливих посилань за допомогою текстових повідомлень, які перенаправляють жертву на інфікований веб-сайт, щоб завантажити зловмисне програмне забезпечення на пристрій або викрасти інформацію користувача через фішинговий веб-сайт. Шкідливі APK-файли найчастіше завантажувалися в Японії (майже 25.000 7.000 разів), за нею йдуть Австрія та Франція з приблизно 6.000 XNUMX завантажень кожна та Німеччина з приблизно XNUMX XNUMX завантажень. Експерти Kaspersky очікують, що учасники Roaming Mantis незабаром оновлять функцію DNS Changer, щоб також атакувати маршрутизатори WiFi у цих країнах.
За даними телеметрії Kaspersky, рівень виявлення шкідливих програм Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) у вересні-грудні 2022 року був у Франції (54,4 відсотка), Японії (12,1 відсотка) і США (10,1 відсотка). відсоток) найвищий.
Інфіковані смартфони можуть заразити інші мережі WLAN
«Якщо інфікований смартфон підключається до раніше неінфікованого маршрутизатора в громадському місці, такому як кав’ярня, бар, бібліотека, готель, торговий центр, аеропорт або навіть вдома, зловмисне програмне забезпечення Wroba.o може скомпрометувати ці маршрутизатори та також вплинути на інші підключені пристрої, », – пояснює Сугуру Ішімару, старший дослідник безпеки Kaspersky. «Нова функція зміни DNS може керувати зв’язком усіх пристроїв через скомпрометований маршрутизатор WiFi. Це також означає, що він може перенаправляти користувачів на шкідливі хости та вимикати оновлення продуктів безпеки. Нова функція надзвичайно важлива для пристроїв Android, оскільки кампанія може дуже швидко поширюватися в цільових регіонах».
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/