L'équipe de pirate qui est à l'origine de sa diffusion Logiciel malveillant Roaming Mantis, mis à jour la version Android du logiciel malveillant pour inclure un Convertisseur DNS
Sa méthode Changeur de DNS modifie les paramètres DNS sur les routeurs WiFi vulnérables pour propager l'infection à d'autres appareils.
Par Septembre 2022, les chercheurs en sécurité ont remarqué que le groupe de pirates derrière le malware de «Mante errante”, ils ont procédé à la distribution d'une nouvelle version du malware Wroba.o/XLoader sur Android, qui détecte les routeurs WiFi vulnérables en fonction de leur modèle et modifie leur DNS.
Le malware crée alors une requête HTTP pour altérer les paramètres DNS d'un routeur WiFi vulnérable, entraînant la redirection des appareils connectés vers des sites Web malveillants qui hébergent des formulaires de phishing ou déposent des logiciels malveillants Android.
La nouvelle variante du malware Wroba.o/XLoader pour Android découvert par eux Chercheurs de Kaspersky, La qui surveillent l'activité de diffusion de Mantis depuis des années. Kaspersky explique que le Mante errante utilise sa méthode Détournement DNS au moins depuis 2018, mais le nouvel élément de sa récente version est que le malware cible des routeurs spécifiques.
La dernière campagne utilisant ce logiciel malveillant mis à jour cible des modèles spécifiques de routeurs WiFi qui sont principalement utilisés dans Corée du Sud. Cependant, les pirates peuvent le modifier à tout moment pour inclure d'autres routeurs couramment utilisés dans d'autres pays.
Cette approche leur permet d'effectuer des attaques plus ciblées et de ne compromettre que des utilisateurs et des zones spécifiques, en évitant la détection dans tous les autres cas.
Les précédentes attaques de Roaming Mantis ciblaient les utilisateurs de Japon, Autriche, France, Allemagne, Turquie, Malaisie et Inde.
Un nouveau résolveur DNS de routeur
Ses dernières éditions Mante errante utiliser des SMS de phishing (effrayer) pour diriger les cibles vers un site Web malveillant.
Si l'appareil de l'utilisateur est Android, il demandera à l'utilisateur d'en installer un APK malveillant, qui est chargé avec le logiciel malveillant Wroba.o/XLoader, contrairement aux utilisateurs Apple iOS, la page de destination redirige les utilisateurs vers une page de phishing qui tente de voler des informations d'identification.
Une fois que le logiciel malveillant XLoader est installé sur l'appareil Android de la victime, il obtient l'adresse IP de la passerelle par défaut du routeur WiFi connecté, puis tente d'accéder au menu d'administration du routeur à l'aide d'un mot de passe par défaut pour découvrir le modèle de l'appareil.
XLoader Vérifier le modèle de routeur WiFi (Kaspersky)
XLoader propose désormais 113 chaînes codées en dur avec un code utilisé pour sonder des modèles spécifiques de routeurs WiFi - et si une correspondance est trouvée, le logiciel malveillant procède au piratage du DNS en modifiant les paramètres du routeur.
Un logiciel malveillant effectue un changement DNS sur le routeur (Kaspersky)
Η Kaspersky déclare que Changeur de DNS utilise les identifiants par défaut (admin / admin) pour accéder au routeur, puis modifiez les paramètres DNS en utilisant différentes méthodes selon le modèle détecté.
Les analystes expliquent également que le serveur DNS utilisé par le Mante errante, ne modifie que certains noms de domaine sur certaines pages de destination lorsqu'elles sont accessibles depuis un smartphone.
La propagation de l'infection
Les paramètres DNS du routeur étant désormais modifiés, lorsque d'autres appareils Android se connectent au réseau WiFi, ils seront automatiquement redirigés vers la page de destination malveillante et invités à installer le logiciel malveillant.
Ce fait crée un flux constant d'appareils infectés pour pirater davantage d'autres routeurs WiFi propres dans les réseaux publics, desservant un grand nombre de personnes dans le pays.
Η Kaspersky avertit que cette fonctionnalité donne à l'équipe Roaming Mantis la possibilité de se développer dangereusement, permettant aux logiciels malveillants de se propager sans contrôle.
Même s'il n'y a pas de pages de destination situées sur USA et Roaming Mantis ne semble pas cibler activement les modèles de routeurs utilisés dans le pays, ses statistiques Kaspersky montrer que le 10% de toutes les victimes de XLoader sont aux États-Unis.
Les utilisateurs peuvent se protéger de ses attaques Mante errante éviter de cliquer sur les liens reçus par SMS, cependant, est encore plus important évitez d'installer un APK en dehors du Google Play Store.
N'oubliez pas de le suivre Xiaomi-miui.gr à Google Actualités pour être informé immédiatement de tous nos nouveaux articles ! Vous pouvez aussi si vous utilisez un lecteur RSS, ajouter notre page à votre liste, simplement en suivant ce lien >> https://news.xiaomi-miui.gr/feed/gn
Suivez-nous sur Telegram pour que vous soyez les premiers informés de toutes nos actualités !
