Penyelidik Kaspersky telah melaporkan fungsi penukar DNS baharu yang digunakan dalam operasi Roaming Mantis. Roaming Mantis (juga dikenali sebagai Shaoye) ialah nama kempen atau operasi jenayah siber yang pertama kali diperhatikan oleh Kaspersky pada 2018. Ia menggunakan fail pakej Android (APK) berniat jahat untuk mengurus peranti Android yang dijangkiti dan mencuri maklumat sulit daripada peranti itu. Ia juga diketahui mempunyai pilihan pancingan data untuk peranti iOS dan ciri perlombongan kripto untuk PC. Nama kempen ini disebabkan penyebarannya melalui telefon pintar yang merayau rangkaian Wi-Fi, yang berpotensi membawa dan menyebarkan jangkitan.
"Penghala awam dan fungsi penukar DNS baharu"
Kaspersky baru-baru ini mendapati bahawa Roaming Mantis menawarkan fungsi penukar DNS baharu melalui perisian hasad kempen Wroba.o (aka Agent.eq, Moqhao, XLoader). Kami boleh memanggil penukar DNS sebagai program berniat jahat yang mengubah hala peranti anda yang disambungkan ke penghala Wi-Fi yang terjejas ke pelayan dikawal penjenayah siber lain dan bukannya pelayan DNS yang sah. Dalam senario ini, bakal mangsa diminta memuat turun perisian hasad yang boleh mengawal peranti atau mencuri bukti kelayakan, daripada halaman pendaratan yang mereka temui.
Pada masa ini, penyerang di belakang Roaming Mantis hanya menyasarkan penghala yang terletak di Korea Selatan dan dihasilkan oleh vendor peralatan rangkaian Korea Selatan yang sangat popular. Pada Disember 2022, Kaspersky memerhatikan 508 muat turun APK berniat jahat di negara ini.
Kajian ke atas halaman berniat jahat mendedahkan bahawa penyerang juga menyasarkan wilayah lain menggunakan smishing dan bukannya penukar DNS. Teknik ini menggunakan mesej teks untuk menyebarkan pautan yang mengarahkan mangsa ke tapak pancingan data untuk memuat turun perisian hasad pada peranti atau mencuri maklumat pengguna.
Menurut statistik Rangkaian Keselamatan Kaspersky (KSN) untuk September – Disember 2022, kadar pengesanan tertinggi perisian hasad Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) di Perancis (54,4%), Jepun (12,1%) dan Amerika Syarikat ( 10,1%).
"Apabila telefon pintar yang dijangkiti bersambung ke penghala 'sihat' di pelbagai tempat awam, seperti kafe, bar, perpustakaan, hotel, pusat beli-belah, lapangan terbang dan juga rumah, perisian hasad Wroba.o dihantar ke penghala ini," kata Suguru Ishimaru, Penyelidik Keselamatan Kanan di Kaspersky. peranti dan mungkin menjejaskan peranti yang disambungkan kepadanya. Fungsi penukar DNS baharu boleh mengurus hampir semua pilihan peranti menggunakan penghala Wi-Fi yang terjejas, seperti pemajuan kepada hos berniat jahat dan melumpuhkan kemas kini keselamatan. "Kami percaya penemuan ini penting kepada keselamatan siber peranti Android kerana ia berpotensi untuk merebak secara meluas di kawasan yang disasarkan."
Untuk melindungi sambungan internet anda daripada jangkitan ini, penyelidik Kaspersky mengesyorkan:
- Semak manual penghala anda untuk mengesahkan bahawa tetapan DNS anda tidak diganggu, atau hubungi pembekal perkhidmatan Internet anda untuk mendapatkan sokongan.
- Tukar nama pengguna dan kata laluan lalai yang digunakan untuk antara muka web penghala anda dan kemas kini perisian tegar dengan kerap daripada sumber rasmi.
- Jangan sekali-kali memasang perisian penghala daripada sumber pihak ketiga. Elakkan menggunakan kedai pihak ketiga untuk peranti Android anda juga.
- Selain itu, sentiasa semak alamat penyemak imbas dan tapak web untuk memastikan ia selamat; Ingat untuk mengesahkan sambungan https:// selamat apabila digesa untuk memasukkan data.
Jadilah yang pertama memberi komen