Il gruppo di di hacker che sta dietro la sua distribuzione Malware Roaming Mantis, aggiornata la versione Android del malware per includere a Convertitore DNS
Il suo metodo Cambia DNS modifica le impostazioni DNS sui router WiFi vulnerabili per diffondere l'infezione ad altri dispositivi.
da settembre 2022, i ricercatori di sicurezza hanno notato che il gruppo di hacker dietro il malware di "Mantide vagante”, hanno proceduto a distribuire una nuova versione del malware Wroba.o/XLoader su Android, che rileva i router WiFi vulnerabili in base al loro modello e ne modifica il DNS.
Il malware crea quindi una richiesta HTTP per manomettere le impostazioni DNS di un router WiFi vulnerabile, causando il reindirizzamento dei dispositivi connessi a siti Web dannosi che ospitano moduli di phishing o rilasciano malware Android.
La nuova variante del malware Wroba.o/XLoader per Android scoperto da loro Ricercatori di Kaspersky, Il che da anni monitorano l'attività di trasmissione di Mantis. Kaspersky spiega che il Mantide vagante usa il suo metodo Dirottamento DNS almeno dal 2018, ma l'elemento nuovo nella sua recente versione è che il malware prende di mira router specifici.
L'ultima campagna che utilizza questo malware aggiornato prende di mira modelli specifici di router WiFi utilizzati principalmente in Corea del Sud. Tuttavia, gli hacker possono modificarlo in qualsiasi momento per includere altri router comunemente utilizzati in altri paesi.
Questo approccio consente loro di eseguire attacchi più mirati e compromettere solo utenti e aree specifici, evitando il rilevamento in tutti gli altri casi.
Precedente Roaming Mantis attacca gli utenti presi di mira da Giappone, Austria, Francia, Germania, Turchia, Malesia e India.
Un nuovo risolutore DNS del router
Le sue ultime edizioni Mantide vagante utilizzare SMS di phishing (SMiShing) per indirizzare gli obiettivi a un sito Web dannoso.
Se il dispositivo dell'utente è Android, verrà chiesto all'utente di installarne uno APK dannoso, che viene caricato con il file malware Wroba.o/XLoader, mentre contrario agli utenti Apple iOS, la pagina di destinazione reindirizzerà gli utenti a una pagina di phishing che tenta di rubare le credenziali.
Una volta che il malware XLoader è installato sul dispositivo Android della vittima, ottiene l'indirizzo IP del gateway predefinito dal router WiFi connesso, quindi tenta di accedere al menu di amministrazione del router utilizzando una password predefinita per scoprire il modello del dispositivo.
XLoader Controlla il modello del router WiFi (Kaspersky)
XLoader ora dispone 113 stringhe codificate con il codice utilizzato per sondare modelli specifici di router WiFi e, se viene trovata una corrispondenza, il malware procede ad hackerare il DNS modificando le impostazioni del router.
Il malware esegue la modifica del DNS sul router (Kaspersky)
Η Kaspersky lo afferma Cambia DNS utilizza le credenziali predefinite (admin / admin) per accedere al router, quindi apportare modifiche alle impostazioni DNS utilizzando metodi diversi a seconda del modello rilevato.
Gli analisti spiegano anche che il server DNS utilizzato dal mantide errante, cambia solo determinati nomi di dominio in determinate pagine di destinazione quando si accede da uno smartphone.
La diffusione dell'infezione
Con le impostazioni DNS sul router ora modificate, quando altri dispositivi Android si connettono alla rete WiFi, verranno automaticamente reindirizzati alla pagina di destinazione dannosa e verrà richiesto di installare il malware.
Questo fatto crea un flusso costante di dispositivi infetti per hackerare ulteriormente altri router WiFi puliti nelle reti pubbliche, servendo un gran numero di persone nel paese.
Η Kaspersky avverte che questa funzione offre al team di Roaming Mantis la possibilità di espandersi pericolosamente, consentendo al malware di diffondersi senza controllo.
Anche se non ci sono pagine di destinazione situate su ΗΠΑ e Roaming Mantis non sembra prendere di mira attivamente i modelli di router in uso nel paese, le sue statistiche Kaspersky mostrare che il Il 10% di tutte le vittime di XLoader si trova negli Stati Uniti.
Gli utenti possono proteggersi dai suoi attacchi Mantide vagante evitando di cliccare sui link ricevuti via SMS, tuttavia, è ancora più importante evitare di installare un APK al di fuori del Google Play Store.
Non dimenticare di seguirlo Xiaomi-miui.gr a Google News per essere subito informato su tutti i nostri nuovi articoli! Puoi anche se usi un lettore RSS, aggiungere la nostra pagina alla tua lista semplicemente seguendo questo link >> https://news.xiaomi-miui.gr/feed/gn
Seguici su Telegram in modo che tu sia il primo a conoscere ogni nostra novità!
