Grup dari hacker yang melatarbelakangi pendistribusiannya Malware Mantis berkeliaran, memperbarui versi Android dari malware untuk memasukkan a konverter DNS
Metodenya pengubah DNS memodifikasi pengaturan DNS pada router WiFi yang rentan untuk menyebarkan infeksi ke perangkat lain.
Oleh September 2022, peneliti keamanan memperhatikan bahwa kelompok peretas di balik malware “Belalang Berkeliaran”, mereka melanjutkan untuk mendistribusikan versi baru dari malware tersebut Wroba.o/XLoader di Android, yang mendeteksi router WiFi yang rentan berdasarkan modelnya, dan mengubah DNS-nya.
Malware kemudian membuat permintaan HTTP untuk mengutak-atik pengaturan DNS dari router WiFi yang rentan, menyebabkan perangkat yang terhubung dialihkan ke situs web berbahaya yang menghosting formulir phishing atau menjatuhkan malware Android.
Varian baru dari malware Wroba.o/XLoader untuk Android ditemukan oleh mereka peneliti Kaspersky, itu yang telah memantau aktivitas siaran Mantis selama bertahun-tahun. Kaspersky menjelaskan bahwa Belalang Berkeliaran menggunakan metodenya Pembajakan DNS setidaknya sejak 2018, tetapi elemen baru dalam rilis terbarunya adalah bahwa malware tersebut menargetkan router tertentu.
Kampanye terbaru menggunakan malware yang diperbarui ini menargetkan model router WiFi tertentu yang terutama digunakan di Korea Selatan. Namun, peretas dapat mengubahnya kapan saja untuk memasukkan router lain yang biasa digunakan di negara lain.
Pendekatan ini memungkinkan mereka untuk melakukan serangan yang lebih terarah dan hanya membahayakan pengguna dan area tertentu, menghindari deteksi dalam semua kasus lainnya.
Serangan Roaming Mantis sebelumnya menargetkan pengguna dari Jepang, Austria, Prancis, Jerman, Turki, Malaysia, dan India.
Penyelesai DNS router baru
Edisi terbarunya Belalang Berkeliaran menggunakan teks phishing SMS (tersenyum) untuk mengarahkan target ke situs web berbahaya.
Jika perangkat pengguna adalah Android, ia akan meminta pengguna untuk menginstalnya APK berbahaya, yang dimuat dengan malware Wroba.o/XLoader, sementara bertentangan dengan pengguna Apple iOS, laman landas akan mengalihkan pengguna ke laman phishing yang berupaya mencuri kredensial.
Setelah malware XLoader diinstal pada perangkat Android korban, ia memperoleh alamat IP gateway default dari router WiFi yang terhubung, dan kemudian mencoba mengakses menu admin router menggunakan kata sandi default untuk menemukan model perangkat.
XLoader Periksa Model Router WiFi (Kaspersky)
Fitur XLoader sekarang 113 string hardcode dengan kode yang digunakan untuk menyelidiki model tertentu dari router WiFi – dan jika ditemukan kecocokan, malware melanjutkan untuk meretas DNS dengan mengubah pengaturan router.
Malware melakukan perubahan DNS pada router (Kaspersky)
Η Kaspersky menyatakan bahwa pengubah DNS menggunakan kredensial default (admin / admin) untuk mengakses perute, lalu membuat perubahan pada setelan DNS menggunakan metode berbeda tergantung pada model yang terdeteksi.
Analis juga menjelaskan bahwa server DNS yang digunakan oleh belalang sembah, hanya mengubah nama domain tertentu menjadi halaman arahan tertentu saat diakses dari Smartphone.
Penyebaran infeksi
Dengan pengaturan DNS pada router sekarang berubah, ketika perangkat Android lainnya terhubung ke jaringan WiFi, mereka secara otomatis akan dialihkan ke halaman arahan berbahaya dan diminta untuk menginstal malware.
Fakta ini menciptakan aliran konstan perangkat yang terinfeksi untuk meretas lebih lanjut router WiFi bersih lainnya di jaringan publik, melayani banyak orang di negara ini.
Η Kaspersky memperingatkan bahwa fitur ini memberi tim Roaming Mantis kemampuan untuk berkembang secara berbahaya, memungkinkan malware menyebar tanpa terkendali.
Meskipun tidak ada halaman arahan yang terletak di USA dan Roaming Mantis tampaknya tidak secara aktif menargetkan model router yang digunakan di negara tersebut, statistiknya Kaspersky menunjukkan bahwa 10% dari semua korban XLoader berada di AS.
Pengguna dapat melindungi diri dari serangannya Belalang Berkeliaran menghindari mengklik tautan yang diterima melalui SMS, bagaimanapun, bahkan lebih penting hindari memasang APK di luar Google Play Store.
Jangan lupa di follow Xiaomi-miui.gr di berita Google untuk segera diberitahu tentang semua artikel baru kami! Anda juga dapat jika Anda menggunakan RSS reader, tambahkan halaman kami ke daftar Anda, cukup dengan mengikuti link ini >> https://news.xiaomi-miui.gr/feed/gn
Ikuti kami di Telegram sehingga Anda adalah orang pertama yang mengetahui setiap berita kami!
