Kaspersky teadlased on teatanud uuest DNS-i vahetamise funktsioonist, mida kasutatakse Roaming Mantis operatsioonis. Roaming Mantis (tuntud ka kui Shaoye) on küberkuritegevuse kampaania või operatsiooni nimi, mida Kaspersky esmakordselt täheldas 2018. aastal. See kasutab nakatunud Android-seadmete haldamiseks ja seadmest konfidentsiaalse teabe varastamiseks pahatahtlikke Androidi paketi (APK) faile. Samuti on teada, et sellel on andmepüügivõimalus iOS-i seadmete jaoks ja krüptokaevandamise funktsioonid arvutite jaoks. Selle kampaania nimi on tingitud selle levikust WiFi-võrkudes rändlevate nutitelefonide kaudu, mis võib nakkust kanda ja levitada.
"Avalikud ruuterid ja uus DNS-vahetaja funktsionaalsus"
Kaspersky avastas hiljuti, et Roaming Mantis pakub kampaania pahavara Wroba.o (teise nimega Agent.eq, Moqhao, XLoader) kaudu uut DNS-vahetaja funktsiooni. DNS-muutjat võime nimetada pahatahtlikuks programmiks, mis suunab teie kahjustatud Wi-Fi-ruuteriga ühendatud seadme legitiimse DNS-serveri asemel teise küberkurjategija kontrollitud serverisse. Selle stsenaariumi korral palutakse potentsiaalsel ohvril sihtlehelt alla laadida pahavara, mis suudab seadet juhtida või mandaate varastada.
Praegu sihivad Roaming Mantise taga olevad ründajad ainult Lõuna-Koreas asuvaid ruuteriid, mida toodab väga populaarne Lõuna-Korea võrguseadmete müüja. 2022. aasta detsembris täheldas Kaspersky riigis 508 pahatahtlikku APK allalaadimist.
Pahatahtlike lehtede uurimine näitas, et ründajad sihivad ka teisi piirkondi, kasutades DNS-i muutjate asemel smishingut. See tehnika kasutab tekstisõnumeid, et levitada linke, mis suunavad ohvri andmepüügisaidile, et laadida alla seadmesse pahavara või varastada kasutajateavet.
Kaspersky Security Networki (KSN) 2022. aasta septembri – detsembri statistika kohaselt on Wroba.o pahavara (Trojan-Dropper.AndroidOS.Wroba.o) kõrgeim avastamismäär Prantsusmaal (54,4%), Jaapanis (12,1%) ja USA-s ( 10,1%).
"Kui nakatunud nutitelefon loob ühenduse tervete ruuteritega erinevates avalikes kohtades, näiteks kohvikutes, baarides, raamatukogudes, hotellides, kaubanduskeskustes, lennujaamades ja isegi kodudes, leitakse sellel ruuteril Wroba.o pahavara," ütles vanem Suguru Ishimaru. Kaspersky turvateadlane ja võib mõjutada sellega ühendatud seadmeid. Uus DNS-i vahetaja funktsioon suudab hallata peaaegu iga seadme valikut, kasutades ohustatud Wi-Fi-ruuterit, näiteks edastada pahatahtlikele hostidele ja keelata turvavärskendused. "Usume, et see avastus on Androidi seadmete küberturvalisuse jaoks ülioluline, kuna sellel on potentsiaal sihtpiirkondades laialdaselt levida."
Interneti-ühenduse kaitsmiseks selle nakkuse eest soovitavad Kaspersky teadlased:
- Kontrollige ruuteri kasutusjuhendit, et veenduda, et teie DNS-i sätteid pole rikutud, või võtke toe saamiseks ühendust Interneti-teenuse pakkujaga.
- Muutke ruuteri veebiliidese jaoks kasutatavat vaikekasutajanime ja parooli ning värskendage püsivara regulaarselt ametlikust allikast.
- Ärge kunagi installige ruuteri tarkvara kolmandate osapoolte allikatest. Vältige oma Android-seadmete jaoks ka kolmandate osapoolte poodide kasutamist.
- Samuti kontrollige alati brauseri ja veebisaitide aadresse, et veenduda nende turvalisuses; Ärge unustage kinnitada https:// turvalist ühendust, kui teil palutakse andmed sisestada.
Ole esimene, kes kommenteerib