Kasperskyn tutkijat ovat raportoineet uudesta DNS-vaihtotoiminnosta, jota käytetään Roaming Mantis -toiminnassa. Roaming Mantis (tunnetaan myös nimellä Shaoye) on Kasperskyn vuonna 2018 ensimmäisen kerran havaitseman kyberrikoskampanjan tai -operaation nimi. Se käyttää haitallisia Android-pakettitiedostoja (APK) hallitakseen tartunnan saaneita Android-laitteita ja varastaakseen luottamuksellisia tietoja laitteesta. Sillä tiedetään myös olevan tietojenkalasteluvaihtoehto iOS-laitteille ja kryptolouhintaominaisuudet tietokoneille. Tämän kampanjan nimi johtuu sen leviämisestä Wi-Fi-verkoissa roaming-älypuhelimien kautta, mikä saattaa kantaa ja levittää tartuntaa.
"Julkiset reitittimet ja uudet DNS-vaihtajatoiminnot"
Kaspersky huomasi äskettäin, että Roaming Mantis tarjoaa uuden DNS-vaihtajatoiminnon kampanjahaittaohjelman Wroba.o (alias Agent.eq, Moqhao, XLoader) kautta. Voimme kutsua DNS-vaihtajaa haittaohjelmaksi, joka ohjaa vaarantuneeseen Wi-Fi-reitittimeen yhdistetyn laitteesi toiselle verkkorikollisten hallitsemalle palvelimelle laillisen DNS-palvelimen sijaan. Tässä skenaariossa potentiaalista uhria pyydetään lataamaan haittaohjelmat, jotka voivat hallita laitetta tai varastaa tunnistetiedot, aloitussivulta, jonka hän törmää.
Tällä hetkellä Roaming Mantisin takana olevat hyökkääjät kohdistavat kohteena vain Etelä-Koreassa sijaitseviin reitittimiin, jotka on valmistanut erittäin suosittu eteläkorealainen verkkolaitetoimittaja. Joulukuussa 2022 Kaspersky havaitsi maassa 508 haitallista APK-latausta.
Haitallisia sivuja koskeva tutkimus paljasti, että hyökkääjät kohdistavat kohteena myös muita alueita käyttämällä smishingiä DNS-vaihtajien sijaan. Tämä tekniikka käyttää tekstiviestejä levittääkseen linkkejä, jotka ohjaavat uhrin tietojenkalastelusivustolle lataamaan haittaohjelmia laitteelle tai varastamaan käyttäjätietoja.
Kaspersky Security Networkin (KSN) syys-joulukuun 2022 tilastojen mukaan korkein Wroba.o-haittaohjelmien (Trojan-Dropper.AndroidOS.Wroba.o) havaitsemisprosentti Ranskassa (54,4 %), Japanissa (12,1 %) ja Yhdysvalloissa ( 10,1 %).
"Kun tartunnan saanut älypuhelin muodostaa yhteyden "terveisiin" reitittimiin useissa julkisissa paikoissa, kuten kahviloissa, baareissa, kirjastoissa, hotelleissa, ostoskeskuksissa, lentokentillä ja jopa kodeissa, Wroba.o-haittaohjelma välittyy tälle reitittimelle", sanoi Suguru Ishimaru. Kaspersky:n vanhempi tietoturvatutkija ja saattaa vaikuttaa siihen yhdistettyihin laitteisiin. Uusi DNS-vaihtajatoiminto voi hallita lähes mitä tahansa laitevalintaa vaarantuneen Wi-Fi-reitittimen avulla, kuten välittämistä haitallisille isännille ja suojauspäivitysten poistamista käytöstä. "Uskomme, että tämä löytö on kriittinen Android-laitteiden kyberturvallisuudelle, koska sillä on potentiaalia levitä laajasti kohdealueille."
Internet-yhteytesi suojaamiseksi tältä tartunnalta Kasperskyn tutkijat suosittelevat:
- Tarkista reitittimesi käyttöoppaasta, että DNS-asetuksiasi ei ole peukaloitu, tai ota yhteyttä Internet-palveluntarjoajaasi saadaksesi tukea.
- Vaihda reitittimesi verkkokäyttöliittymässä käytetty oletuskäyttäjätunnus ja salasana ja päivitä laiteohjelmisto säännöllisesti virallisesta lähteestä.
- Älä koskaan asenna reititinohjelmistoa kolmannen osapuolen lähteistä. Vältä myös kolmansien osapuolien myymälöiden käyttöä Android-laitteillesi.
- Tarkista myös aina selaimen ja verkkosivustojen osoitteet varmistaaksesi, että ne ovat turvallisia. Muista vahvistaa https:// suojattu yhteys, kun sinua kehotetaan syöttämään tietoja.
Ole ensimmäinen, joka kommentoi