Các nhà nghiên cứu của Kaspersky đã báo cáo một chức năng chuyển đổi DNS mới được sử dụng trong hoạt động Roaming Mantis. Roaming Mantis (còn được gọi là Shaoye) là tên của một chiến dịch hoặc hoạt động tội phạm mạng được Kaspersky phát hiện lần đầu tiên vào năm 2018. Nó sử dụng các tệp gói Android (APK) độc hại để quản lý các thiết bị Android bị nhiễm và lấy cắp thông tin bí mật từ thiết bị. Nó cũng được biết là có tùy chọn lừa đảo cho thiết bị iOS và tính năng khai thác tiền điện tử cho PC. Tên của chiến dịch này là do nó lan truyền qua các mạng Wi-Fi chuyển vùng của điện thoại thông minh, có khả năng mang và lây nhiễm.
“Bộ định tuyến công cộng và chức năng thay đổi DNS mới”
Kaspersky gần đây đã phát hiện ra rằng Roaming Mantis cung cấp chức năng thay đổi DNS mới thông qua chiến dịch phần mềm độc hại Wroba.o (aka Agent.eq, Moqhao, XLoader). Chúng tôi có thể gọi trình thay đổi DNS là một chương trình độc hại chuyển hướng thiết bị của bạn được kết nối với bộ định tuyến Wi-Fi bị xâm nhập sang một máy chủ khác do tội phạm mạng kiểm soát thay vì một máy chủ DNS hợp pháp. Trong trường hợp này, nạn nhân tiềm năng được yêu cầu tải xuống phần mềm độc hại có thể kiểm soát thiết bị hoặc lấy cắp thông tin đăng nhập từ trang đích mà họ bắt gặp.
Hiện tại, những kẻ tấn công Roaming Mantis chỉ nhắm mục tiêu vào các bộ định tuyến đặt tại Hàn Quốc và được sản xuất bởi một nhà cung cấp thiết bị mạng rất nổi tiếng của Hàn Quốc. Vào tháng 2022 năm 508, Kaspersky đã quan sát thấy XNUMX lượt tải xuống APK độc hại tại quốc gia này.
Một nghiên cứu về các trang độc hại tiết lộ rằng những kẻ tấn công cũng đang nhắm mục tiêu vào các khu vực khác bằng cách sử dụng smishing thay vì thay đổi DNS. Kỹ thuật này sử dụng tin nhắn văn bản để phát tán các liên kết hướng nạn nhân đến một trang web lừa đảo để tải phần mềm độc hại về thiết bị hoặc đánh cắp thông tin người dùng.
Theo thống kê của Kaspersky Security Network (KSN) từ tháng 2022 – tháng 54,4 năm 12,1, tỷ lệ phát hiện phần mềm độc hại Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) cao nhất tại Pháp (10,1%), Nhật Bản (XNUMX%) và Hoa Kỳ ( XNUMX%).
“Khi một điện thoại thông minh bị nhiễm kết nối với các bộ định tuyến 'khỏe mạnh' ở nhiều nơi công cộng khác nhau, chẳng hạn như quán cà phê, quán bar, thư viện, khách sạn, trung tâm mua sắm, sân bay và thậm chí cả nhà riêng, phần mềm độc hại Wroba.o sẽ được truyền đến bộ định tuyến này,” Suguru Ishimaru cho biết. Nhà nghiên cứu bảo mật cấp cao tại Kaspersky. devices và có thể ảnh hưởng đến các thiết bị được kết nối với nó. Chức năng thay đổi DNS mới có thể quản lý hầu hết mọi lựa chọn thiết bị bằng cách sử dụng bộ định tuyến Wi-Fi bị xâm nhập, chẳng hạn như chuyển tiếp đến máy chủ độc hại và vô hiệu hóa các bản cập nhật bảo mật. "Chúng tôi tin rằng phát hiện này rất quan trọng đối với an ninh mạng của các thiết bị Android vì nó có khả năng lan truyền rộng rãi ở các khu vực được nhắm mục tiêu."
Để bảo vệ kết nối internet của bạn khỏi sự lây nhiễm này, các nhà nghiên cứu của Kaspersky khuyến nghị:
- Kiểm tra hướng dẫn sử dụng bộ định tuyến của bạn để xác minh rằng cài đặt DNS của bạn không bị giả mạo hoặc liên hệ với nhà cung cấp dịch vụ internet của bạn để được hỗ trợ.
- Thay đổi tên người dùng và mật khẩu mặc định được sử dụng cho giao diện web của bộ định tuyến và cập nhật chương trình cơ sở thường xuyên từ nguồn chính thức.
- Không bao giờ cài đặt phần mềm bộ định tuyến từ các nguồn của bên thứ ba. Tránh sử dụng các cửa hàng của bên thứ ba cho các thiết bị Android của bạn.
- Ngoài ra, hãy luôn kiểm tra địa chỉ trình duyệt và trang web để đảm bảo chúng an toàn; Hãy nhớ xác nhận https:// kết nối an toàn khi được nhắc nhập dữ liệu.
Hãy là người đầu tiên nhận xét