de groep van hacker die achter de distributie zit Roaming Mantis-malware, heeft de Android-versie van de malware bijgewerkt met een DNS-omzetter
Zijn methode DNS-wisselaar wijzigt DNS-instellingen op kwetsbare WiFi-routers om de infectie naar andere apparaten te verspreiden.
Door september 2022, merkten beveiligingsonderzoekers dat de groep hackers achter de malware van “Zwervende bidsprinkhaan”, gingen ze verder met het verspreiden van een nieuwe versie van de malware Wroba.o/XLoader op Android, dat kwetsbare wifi-routers detecteert op basis van hun model en hun DNS wijzigt.
De malware maakt vervolgens een verzoek HTTP om de DNS-instellingen van een kwetsbare wifi-router te manipuleren, waardoor aangesloten apparaten worden omgeleid naar kwaadwillende websites die phishing-formulieren hosten of Android-malware droppen.
De nieuwe variant van de malware Wroba.o/XLoader voor Android door hen ontdekt Kaspersky-onderzoekers, de die de uitzendactiviteiten van Mantis al jaren volgen. Kaspersky legt uit dat de Zwervende bidsprinkhaan gebruikt zijn methode DNS-kaping in ieder geval sinds 2018, maar het nieuwe element in de recente release is dat de malware zich richt op specifieke routers.
De nieuwste campagne die deze bijgewerkte malware gebruikt, richt zich op specifieke modellen wifi-routers die voornamelijk worden gebruikt in Zuid-Korea. Hackers kunnen het echter op elk moment wijzigen om andere routers op te nemen die vaak in andere landen worden gebruikt.
Deze aanpak stelt hen in staat om meer gerichte aanvallen uit te voeren en alleen specifieke gebruikers en gebieden in gevaar te brengen, waardoor detectie in alle andere gevallen wordt vermeden.
Vorige Roaming Mantis valt gerichte gebruikers aan vanaf Japan, Oostenrijk, Frankrijk, Duitsland, Turkije, Maleisië en India.
Een nieuwe router DNS-resolver
Zijn laatste edities Zwervende bidsprinkhaan gebruik sms-phishing-teksten (smishing) om doelen naar een kwaadaardige website te leiden.
Als het apparaat van de gebruiker Android is, wordt de gebruiker gevraagd er een te installeren schadelijke APK, die is geladen met de malware Wroba.o/XLoader, terwijl in tegenstelling tot gebruikers Apple iOS, zal de bestemmingspagina gebruikers omleiden naar een phishing-pagina die inloggegevens probeert te stelen.
Zodra de XLoader-malware op het Android-apparaat van het slachtoffer is geïnstalleerd, verkrijgt het het standaardgateway-IP-adres van de verbonden wifi-router en probeert vervolgens toegang te krijgen tot het beheerdersmenu van de router met een standaardwachtwoord om het apparaatmodel te ontdekken.
XLoader Controleer WiFi-routermodel (Kaspersky)
XLoader is nu beschikbaar 113 hardgecodeerde snaren met code die wordt gebruikt om specifieke modellen van WiFi-routers te onderzoeken - en als er een overeenkomst wordt gevonden, gaat de malware verder met het hacken van DNS door de instellingen van de router te wijzigen.
Malware voert DNS-wijziging uit op router (Kaspersky)
Η Kaspersky stelt dat de DNS-wisselaar gebruikt standaardreferenties (admin / admin) om toegang te krijgen tot de router en vervolgens de DNS-instellingen op verschillende manieren te wijzigen, afhankelijk van het gedetecteerde model.
Analisten leggen ook uit dat de DNS-server die wordt gebruikt door de zwervende bidsprinkhaan, verandert alleen bepaalde domeinnamen naar bepaalde bestemmingspagina's wanneer deze worden geopend vanaf een smartphone.
De verspreiding van infectie
Nu de DNS-instellingen op de router zijn gewijzigd, worden andere Android-apparaten die verbinding maken met het wifi-netwerk, automatisch omgeleid naar de kwaadaardige landingspagina en gevraagd om de malware te installeren.
Dit feit zorgt voor een constante stroom van geïnfecteerde apparaten om andere schone wifi-routers in openbare netwerken verder te hacken, waarmee een groot aantal mensen in het land wordt bediend.
Η Kaspersky waarschuwt dat deze functie het Roaming Mantis-team de mogelijkheid geeft om gevaarlijk uit te breiden, waardoor malware zich ongecontroleerd kan verspreiden.
Ook al zijn er geen bestemmingspagina's op VS en Roaming Mantis lijkt zich niet actief te richten op routermodellen die in het land in gebruik zijn, zijn statistieken Kaspersky laten zien dat de 10% van alle XLoader-slachtoffers bevinden zich in de VS.
Gebruikers kunnen zichzelf beschermen tegen de aanvallen Zwervende bidsprinkhaan vermijd het klikken op links die via sms zijn ontvangenis echter nog belangrijker vermijd het installeren van een APK buiten de Google Play Store.
Vergeet het niet te volgen Xiaomi-miui.gr bij Google Nieuws om direct op de hoogte te zijn van al onze nieuwe artikelen! U kunt ook, als u een RSS-lezer gebruikt, onze pagina aan uw lijst toevoegen door simpelweg deze link te volgen >> https://news.xiaomi-miui.gr/feed/gn
Volg ons op Telegram zodat u als eerste op de hoogte bent van al ons nieuws!
