اخبار فناوری اطلاعات
گسترش بدافزار بانکی اندروید از طریق ربودن DNS مودم
محققان امنیتی به تازگی درمورد کمیپین بدافزاری هشدار داده اند که روترهای اینترنتی را برای گسترش بدافزار بانکی اندروید ربوده و قادر است اطلاعات حساس کاربران، اعتبار لوگین و رمز پنهان آنها برای احراز هویت دومرحله ای به سرقت ببرند.
به گزارش ایتنا از کسپرسکی آنلاین، به منظور فریب دادن قربانیان برای نصب بدافزار اندرویدی که Roaming Mantis نام دارد، هکرها تنظیمات DNS را در روترهای آسیب پذیر و روترهایی که امنیت پایینی دارند می ربایند.
هایجک یا ربودن DNS به هکرها اجازه می دهد تا ترافیک را از بین ببرند، تبلیغات فریبنده را در سراسر وب تزریق و کاربران را به صفحات مختلف فیشینگ که می تواند آنها را برای به اشتراک گذاری اطلاعات حساس مانند اعتبارنامه لوگین، جزئیات حساب بانکی و موارد دیگر فریب دهد، هدایت کنند.
ربودن DNS روترها برای اهداف مخرب حمله جدیدی محسوب نمیشود. پیش از این ما در مورد DNSChanger و Switcher مقاله نوشته بودیم، هر دوی آنها بدافزارهایی بودند که با تغییر تنظیمات DNS روترهای بیسیم، ترافیک را به وب سایت های مخرب تحت کنترل مجرمان هدایت کرده بودند.
طبق یافته های محققان امنیتی در لابراتوار کسپرسکی، کمپین جدید بدافزارها در وهله اول کاربران را در کشورهای آسیایی از جمله کره جنوبی، چین، بنگلادش و ژاپن و از ماه فوریه امسال مورد هدف قرار داده است.
پس از آن، تنظیمات خرابکارانه DNS که توسط هکرها پیکربندی شده است، قربانیان را به بازدید نسخه های جعلی وب سایت های قانونی هدایت می کند و یک پیام هشدار دهنده با عنوان “To better experience the browsing, update to the latest chrome version ( برای تجربه بهتر در وب گردی، مرورگر خود را به آخرین نسخه کروم آپدیت کنید ” نمایان می کند.
سپس بدافزار Roaming Mantis با ظاهر اپلیکیشن Chrome browser برای اندروید دانلود می شود که اجازه ی جمع آوری اطلاعات حساب دستگاه، مدیریتSMS/MMS، برقراری تماس، ضبط صدا، کنترل ذخیره سازی خارجی، بررسی پکیج ها، کار با سیستم های فایل و غیره را از دستگاه قربانی دارد.
تغییر مسیر این بدافزار برای نصب برنامه های تروجانی با نام facebook.apk و chrome.apk است که شامل تروجان اندرویدی Trojan-Banker می شود.
اگر بدافزار بر روی دستگاه نصب شود، اپلیکیشن مخرب بلافاصله تمام پیام های هشدار جعلی را نشان می دهد که با زبان انگلیسی می گوید:”Account No.exists risks, use after certification”.
سپس بدافزار Roaming Mantis یک سرور وب محلی را به دستگاه متصل، مرورگر وب را برای باز کردن یک نسخه ی جعلی وب سایت گوگل راه اندازی می کند و از کاربران می خواهد که نام و تاریخ تولد خود را ثبت کنند.
به منظور اینکه کاربران متقاعد شوند که این اطلاعات برای گوگل است و به خود آن تحویل داده می شود، یک صفحه ی جعلی جیمیل (همانند تصویر بالا) بر روی دستگاه آلوده ی اندرویدی کاربران نمایان می شود.
محققان می گویند: “پس از اینکه کاربران اسم و تاریخ تولد خود را وارد کردند، مرورگر به یک صفحه خالی در http://127.0.0.1:${random_port}/submit هدایت می شود”.
از آنجا که برنامه مخرب Roaming Mantis پیش از این برای خواندن و نوشتن اس ام اس روی دستگاه به کار برده می شد، به مجرمان اجازه می دهد تا بتوانند پسورد مخفی را که برای احراز هویت دو مرحله ای حساب قربانیان به کار برده می شود را به سرقت ببرند.
مادامی که آنالیزها بر روی کدهای مخرب بدافزار انجام می شد، محققان مرجعی را برای برنامه های بانکداری تلفن همراه و بازی های رایانه ای محبوب کره ی جنوبی و همچنین تابعی را یافتند که دستگاه آلوده ای که روت شده است را شناسایی کند.
محققان گفتند: ” برای مجرمان، استفاده از این تابع نشان می دهد که دستگاه برای چه شخصی است، یک کاربر پیشرفته ی اندروید یا برعکس، دستگاه کاربری که سیستم آن روت شده است و از این طریق می توان به کل سیستم وی دسترسی یافت”.
مورد جالبی که در این بدافزار وجود دارد این است که Roaming Mantis از یک وب سایت شبکه ی اجتماعی پیشرو چینی با نام my.tv.sohu.com به عنوان سرور فرمان و کنترل استفاده می کند و دستورات را تنها به دستگاه های آلوده ای ارسال می کند که آپدیت پروفایل های کاربر توسط مجرمان کنترل می شود.
با توجه به اطلاعات تلمتری کسپرسکی، بدافزار Roaming Mantis بیش از 6000 بار شناسایی شده است. حتما از آپدیت بودن روتر و اجرا شدن آخرین نسخه سیستم عامل روی آن اطمینان حاصل کنید و آن را با یک رمز عبور قوی امن نگاه دارید.
همچنین بهتر است ویژگی مدیریت از راه دور روتر خود را غیرفعال و یک سرور DNS قابل اعتماد را به تنظیمات شبکه ی سیستم عامل خود متصل کنید.
منبع : ایتنا