كان باحثو الأمن قد حذروا من حملة خبيثة مستمرة تقوم باختطاف أجهزة توجيه الإنترنت لتوزيع البرمجيات الخبيثة التي تعمل بنظام Android ، والتي تسرق المعلومات الحساسة للمستخدمين ، وبيانات اعتماد تسجيل الدخول ، والرمز السري للمصادقة الثنائية.
من أجل خداع الضحايا في تثبيت البرامج الضارة على Android ، التي يطلق عليها اسم Roaming Mantis ، كان المخترقون يختطفون إعدادات DNS على أجهزة التوجيه الضعيفة والمضمونة بشكل سيئ . يسمح
هجوم اختطاف نظام أسماء النطاقات للمتطفلين باعتراض حركة المرور وحقن الإعلانات المارقة على صفحات الويب وإعادة توجيه المستخدمين إلى صفحات تصيد معلومات تهدف إلى خداعهم لمشاركة معلوماتهم الحساسة مثل بيانات اعتماد تسجيل الدخول وتفاصيل الحساب المصرفي والمزيد.
اختطاف DNS لأجهزة التوجيه لهدف خبيث ليس جديدًا. أبلغنا سابقًا عن DNSChanger و Switcher على نطاق واسع ، حيث نجحت البرامج الضارة من خلال تغيير إعدادات DNS لأجهزة التوجيه اللاسلكية لإعادة توجيه الزيارات إلى مواقع الويب الخبيثة التي يتحكم فيها المهاجمون.
اكتشف الباحثون الأمنيون في "كاسبرسكي لاب" ، أن الحملة الجديدة للبرامج الضارة تستهدف في المقام الأول المستخدمين في البلدان الآسيوية ، بما في ذلك كوريا الجنوبية ، وبنغلاديش ، واليابان ، منذ شهر فبراير من هذا العام.
وبمجرد تعديل إعدادات DNS الخادعة التي تم تكوينها من قِبل المتطفلين ، فإنها تعيد توجيه الضحايا إلى إصدارات مزيفة من مواقع الويب الشرعية التي يحاولون زيارتها وتعرض رسالة تحذير منبثقة ، والتي تقول: "للاستمتاع بتجربة الاستعراض بشكل أفضل ، عليك التحديث إلى أحدث إصدار من Chrome".
يقوم بعد ذلك بتنزيل تطبيق Roaming Mantis malware masquerading باعتباره تطبيق متصفح Chrome لنظام Android ، والذي يأخذ الإذن لجمع معلومات حساب الجهاز وإدارة SMS / MMS وإجراء المكالمات وتسجيل الصوت والتحكم في التخزين الخارجي وفحص الحزم والعمل باستخدام أنظمة الملفات والرسم تراكب النوافذ وهلم جرا.
"أدت عملية إعادة التوجيه إلى تثبيت تطبيقات طروادة تحمل اسم facebook.apk و chrome.apk التي تحتوي على Android Trojan-Banker".
في حالة التثبيت ، يعمل هذا التطبيق الضار على تراكب جميع النوافذ الأخرى فورًا لإظهار رسالة تحذير زائفة (مكتوبة باللغة الإنجليزية المكسورة) ، والتي تنص على "مخاطر رقم الحساب ، واستخدامها بعد الحصول على الشهادة".
ثم يبدأ Raming Mantis في تشغيل خادم ويب محلي على الجهاز ويطلق متصفح الويب لفتح نسخة مزيفة من موقع Google ، ويطلب من المستخدمين ملء أسمائهم وتاريخ ميلادهم.
لإقناع المستخدمين بالاعتقاد بأنهم يسلمون هذه المعلومات إلى Google نفسها ، تعرض الصفحة الزائفة معرّف البريد الإلكتروني الخاص بحساب Gmail الذي تمت تهيئته على جهاز Android المصاب ، كما هو موضح في لقطات الشاشة.
وقال الباحثون "بعد أن يدخل المستخدم اسمه وتاريخ ميلاده ، تتم إعادة توجيه المتصفح إلى صفحة فارغة في http://127.0.0.1:${random_port}/submit". "تمامًا مثل صفحة التوزيع ، تدعم البرامج الضارة أربعة لغات: الكورية والصينية التقليدية واليابانية والإنجليزية."
منذ أن حصل تطبيق Roaming Mantis malware على إذن لقراءة وكتابة الرسائل القصيرة على الجهاز ، فإنه يسمح للمهاجمين بسرقة رمز التحقق السري للمصادقة الثنائية لحسابات الضحايا.
أثناء تحليل رمز البرمجيات الخبيثة ، وجد الباحثون إشارة إلى تطبيقات الخدمات المصرفية للألعاب الخلوية في كوريا الجنوبية ، بالإضافة إلى وظيفة تحاول اكتشاف ما إذا كان الجهاز المصاب متجذرًا.
وقال الباحثون: "بالنسبة للمهاجمين ، قد يشير هذا إلى أن الجهاز مملوك من قبل مستخدم أندرويد متقدم (إشارة للتوقف عن العبث مع الجهاز) أو ، بدلاً من ذلك ، فرصة للاستفادة من الوصول إلى الجذر للوصول إلى النظام بأكمله".
ما هو مثير للاهتمام حول هذه البرمجيات الخبيثة هو أنها تستخدم واحدة من مواقع الشبكات الاجتماعية الصينية الرائدة (my.tv.sohu.com) كخادم القيادة والتحكم الخاص بها وترسل الأوامر إلى الأجهزة المصابة فقط عبر تحديث ملفات تعريف المستخدم التي يتحكم فيها المهاجم.
وفقًا لبيانات كاسبرسكي عن بُعد ، تم الكشف عن برامج التجسس Mantis أكثر من 6000 مرة ، على الرغم من أن التقارير جاءت من 150 مستخدمًا فريدًا فقط.
ننصحك بضمان تشغيل جهاز الراوتر لأحدث إصدار من البرنامج الثابت ومحمي بكلمة مرور قوية.
يجب أيضًا تعطيل ميزة الإدارة عن بُعد الخاصة بالموجّه وترميز خادم DNS موثوق به في إعدادات شبكة نظام التشغيل.