Το Android malware Roaming mantis αναβαθμίστηκε με τη προσθήκη ενός DNS changer, που έχει ως στόχο τη παραβίαση των WiFi router.
Εφόσον καταφέρουν την παραβίαση, αλλάζουν τις DNS ρυθμίσεις του router έτσι ώστε να μολυνθούν και άλλες συσκευές κατα τη σύνδεση στο δίκτυο WiFi.
Τον Σεπτέμβριο του 2022, οι ερευνητές παρατήρησαν για πρώτη φορά την ανανεωμένη version του Roaming mantis malware, όπου και είχε μια updated Android έκδοση του Wroba.o/XLoader για την ανίχνευση ευάλωτων routers.
Δείτε επίσης: Hook Android malware: Μάθετε τα πάντα για τη νέα μεγάλη απειλή
Ερευνητές της Kaspersky είχαν ανακαλύψει την τελευταία έκδοση της παραλλαγής των Wroba.o/XLoader Android malware. Παρακολουθούσαν τις δραστηριότητες της Roaming Mantis εκστρατείας για μεγάλο χρονικό διάστημα.
Σύμφωνα με τα λεγόμενά τους, η εκστρατεία Roaming Mantis χρησιμοποιεί τη DNS hijacking μέθοδο από το 2018, αλλά το νέο στοιχείο στην τελευταία εκστρατεία είναι ότι το DNS changer malware στοχεύει συγκεκριμένα μοντέλα router.
Η τρέχουσα εκστρατεία, στοχεύει συγκεκριμένα μοντέλα από WiFi routers που χρησιμοποιούνται κυρίως στη Νότια Κορέα.
Κάτι τέτοιο όμως αλλάζει και ενδέχεται η εκστρατεία να προσαρμοστεί και να συμπεριλάβει και τα routers που χρησιμοποιούνται σε άλλες χώρες.
Η τακτική αυτή επιτρέπει στους απειλητικούς παράγοντες να πραγματοποιούν στοχευμένες επιθέσεις και να θέτουν σε κίνδυνο μόνο συγκεκριμένους χρήστες, αποφεύγοντας τον εντοπισμό από τις γύρω περιοχές.
Προηγούμενες malware εκστρατείες Roaming Mantis είχαν στοχεύσει τους χρήστες σε Ιαπωνία, Αυστρία, Γαλλία, Γερμανία, Τουρκία, Μαλαισία και Ινδία.
Το νέο router DNS changer
Στις πρόσφατες Roaming Mantis malware επιθέσεις , η ομάδα χρησιμοποιούσε τη μέθοδο SMS phishing (smishing) για να κατευθύνει τα θύματα σε έναν κακόβουλο site.
Εάν η συσκευή του χρήστη λειτουργούσε με Android, θα χρειαζόταν να εγκαταστήσει ένα Android APK, το οποίο μέσα κρυβόταν το Wroba.o/XLoader malware.
Ωστόσο, για τους χρήστες iOS, η σελίδα θα τους ανακατεύθυνε σε μια phishing σελίδα με σκοπό να τους κλέψουν τα credential.
Μόλις το κακόβουλο λογισμικό XLoader είχε τελειώσει την εγκατάσταση του στις Android συσκευές, έπρεπε να «τραβήξει» την default gateway IP διεύθυνση από τον συνδεδεμένο router.
Στη συνέχεια, προσπαθούσε να αποκτήσει πρόσβαση στο web interface του administrator χρησιμοποιώντας έναν default κωδικό για να βρει το μοντέλο του router.
Το XLoader περιλαμβάνει πλέον 113 προ-προγραμματισμένες συμβολοσειρές – strings – που χρησιμοποιούνται για τον προσδιορισμό συγκεκριμένων router μοντέλων.
Εάν βρεθεί αντιστοιχία, το malware θα προχωρήσει στην «πειρατία», τροποποιώντας τις DNS ρυθμίσεις του router.
Οι ερευνητές της Kaspersky δήλωσαν ότι ο DNS changer του Roaming Mantis malware χρησιμοποιεί default στοιχεία πρόσβασης (admin/admin) για να αποκτήσει την πρόσβαση στο router.
Στη συνέχεια πραγματοποιεί τις αλλαγές στις ρυθμίσεις DNS χρησιμοποιώντας διαφορετικές μεθόδους ανάλογα με το μοντέλο που έχει εντοπίστει.
Δείτε επίσης: Predator inside story: Τα SMS το κλειδί στην έρευνα για τις υποκλοπές
Η διάδοση της μόλυνσης
Με τις ρυθμίσεις DNS του router τροποποιημένες, όταν άλλες Android συσκευές συνδεθούν στο WiFi δίκτυο, θα κατευθυνθούν στο κακόβουλο site και θα τους ζητηθεί να εγκαταστήσουν το APK.
Αυτό δημιουργεί μια συνεχή ροή μολυσμένων συσκευών που μπορεί να θέσει σε κίνδυνο και άλλα «καθαρά» router, επιτρέποντας στο malware να εξαπλωθεί σε ακόμα περισσότερες συσκευές.
Χαρακτηριστικό του Roaming Mantis malware είναι ότι χαρακτηρίζετε “σκόπιμα αδέσμευτο”, πράγμα που σημαίνει ότι μπορεί να εξαπλωθεί ανεξέλεγκτα.
Οι χρήστες μπορούν να προστατευτούν από τις εκστρατείες Roaming Mantis αποφεύγοντας να κάνουν κλικ σε links που λαμβάνουν μέσω SMS.
Σημαντικό επίσης είναι να μην κάνετε install APK που δεν βρίσκονται στο Google Play.
Πηγή πληροφοριών: bleepingcomputer.com
