Gi-report sa mga tigdukiduki sa Kaspersky ang usa ka bag-ong function sa DNS switcher nga gigamit sa operasyon sa Roaming Mantis. Ang Roaming Mantis (nailhan usab nga Shaoye) mao ang ngalan sa kampanya sa cybercrime o operasyon nga una nga naobserbahan sa Kaspersky kaniadtong 2018. Naggamit kini og malisyoso nga Android package (APK) nga mga file aron madumala ang mga nataptan nga Android device ug mangawat og kompidensyal nga impormasyon sa device. Nahibal-an usab nga adunay kapilian sa phishing alang sa mga aparato sa iOS ug mga bahin sa pagmina sa crypto alang sa mga PC. Ang ngalan niini nga kampanya tungod sa pagkaylap niini pinaagi sa mga smartphone nga nagsuroysuroy sa mga Wi-Fi network nga posibleng magdala ug mopakatap sa impeksyon.
"Mga pampublikong router ug bag-ong DNS changer functionality"
Ang Kaspersky bag-o lang nakadiskobre nga ang Roaming Mantis nagtanyag og bag-ong DNS changer functionality pinaagi sa campaign malware Wroba.o (aka Agent.eq, Moqhao, XLoader). Matawag namo ang DNS changer nga usa ka malisyoso nga programa nga nag-redirect sa imong device nga konektado sa usa ka nakompromiso nga Wi-Fi router ngadto sa laing cybercriminal-controlled server imbes sa usa ka lehitimong DNS server. Sa kini nga senaryo, ang potensyal nga biktima gihangyo nga mag-download sa malware nga makakontrol sa aparato o mangawat mga kredensyal, gikan sa landing page nga ilang nakit-an.
Sa pagkakaron, ang mga tig-atake sa luyo sa Roaming Mantis nagpunting lamang sa mga router nga nahimutang sa South Korea ug gigama sa usa ka sikat kaayo nga tigbaligya sa kagamitan sa network sa South Korea. Niadtong Disyembre 2022, naobserbahan ni Kaspersky ang 508 ka malisyoso nga pag-download sa APK sa nasud.
Usa ka pagtuon sa malisyosong mga panid nagpadayag nga ang mga tig-atake nagpuntirya usab sa ubang mga rehiyon gamit ang smishing imbes nga mga DNS changer. Kini nga teknik naggamit sa mga text message aron ipakaylap ang mga link nga nagdirekta sa biktima sa usa ka phishing site aron mag-download sa malware sa aparato o mangawat sa kasayuran sa tiggamit.
Sumala sa estadistika sa Kaspersky Security Network (KSN) para sa Septiyembre – Disyembre 2022, ang pinakataas nga detection rate sa Wroba.o malware (Trojan-Dropper.AndroidOS.Wroba.o) sa France (54,4%), Japan (12,1%) ug USA ( 10,1%).
"Kung ang usa ka nataptan nga smartphone magkonektar sa 'himsog' nga mga router sa lainlaing mga pampublikong lugar, sama sa mga cafe, bar, library, hotel, shopping mall, airport ug bisan mga balay, ang Wroba.o malware gipasa sa kini nga router," ingon ni Suguru Ishimaru, Senior Security Researcher sa Kaspersky. device ug mahimong makaapekto sa mga device nga konektado niini. Ang bag-ong DNS changer functionality makahimo sa pagdumala sa halos bisan unsang device nga pagpili gamit ang nakompromiso nga Wi-Fi router, sama sa pagpasa ngadto sa malisyosong mga host ug pag-disable sa mga update sa seguridad. "Kami nagtuo nga kini nga pagkadiskobre kritikal sa cybersecurity sa mga Android device tungod kay kini adunay potensyal nga mokaylap sa kaylap nga mga target nga rehiyon."
Aron mapanalipdan ang imong koneksyon sa Internet gikan sa kini nga impeksyon, girekomenda sa mga tigdukiduki sa Kaspersky:
- Susiha ang manwal sa imong router aron mapamatud-an nga ang imong mga setting sa DNS wala gisamok, o kontaka ang imong internet service provider alang sa suporta.
- Usba ang default username ug password nga gigamit para sa web interface sa imong router ug i-update kanunay ang firmware gikan sa opisyal nga tinubdan.
- Ayaw pag-instalar sa software sa router gikan sa mga tinubdan sa ikatulo nga partido. Likayi ang paggamit sa mga tindahan sa ikatulo nga partido alang usab sa imong mga Android device.
- Usab, susiha kanunay ang mga adres sa browser ug website aron masiguro nga luwas kini; Hinumdumi ang pagkumpirma sa https:// luwas nga koneksyon kung giaghat sa pagsulod sa datos.
Mahimo nga una nga mokomentaryo