Roaming Mantis Malware các cuộc tấn công người dùng Android thông qua router bị tấn công

Computer Security News

Các nhà nghiên cứu bảo mật Kaspersky được tìm thấy một mới Android phần mềm độc hại, được gọi là chuyển vùng Mantis, phân phối thông qua một thủ thuật đơn giản, dựa trên các DNS hijacking.

Các nhà phát triển của Roaming Mantis malware hoạt động như một người đã đổi chỗ ra cuốn sách điện thoại của bạn với một trong những họ tạo ra, nơi mà tất cả các số điện thoại quan trọng đã được thay đổi để gọi bạn bè diễn viên xấu thay vì ngân hàng bạn đã cố gắng để gọi.

Sau đó, bất cứ ai trả lời điện thoại quản lý để thuyết phục bạn, họ thực sự là các ngân hàng mà bạn nghĩ rằng bạn đã gọi điện thoại. Bạn trả lời câu hỏi bảo mật của bạn qua điện thoại và khi keát thuùc, diễn viên xấu sau đó gọi là ngân hàng của bạn và thành công masquerades như bạn vì bây giờ họ có câu trả lời cho câu hỏi bảo mật của bạn.

Điều này là tất cả một tương tự thiếu sót vì không có ai sử dụng sách điện thoại nữa, Tuy nhiên, nếu bạn thay thế “sách điện thoại” với “DNS”, nó không phải là một tương tự nữa. Đó là một cuộc tấn công cyber thực hiện mục tiêu người dùng điện thoại di động ở Châu á đang cố gắng ăn cắp các chi tiết ngân hàng của họ.

Tháng trước, các báo cáo về bộ định tuyến bị tấn công tại Nhật bản chuyển hướng người sử dụng để thỏa hiệp các trang web đã được phát hành. Theo cuộc điều tra của Kaspersky Lab, cuộc tấn công cyber nhắm mục tiêu người dùng ở Châu á với các trang web giả mạo tùy chỉnh cho tiếng Anh, Hàn Quốc, Nhật bản, và tiếng Trung giản thể. Thống kê của các nhiễm trùng cho thấy rằng hiện nay người dùng bị ảnh hưởng nhất nằm ở Bangladesh, Nhật bản và Hàn Quốc.

Cuộc tấn công cyber bắt đầu khi người dùng cố gắng truy cập một trang web hợp pháp thông qua một bộ định tuyến bị xâm phạm. Thay vì đến các trang web dự định, và người dùng được chuyển hướng đến một bản sao thuyết phục của các trang web sẽ được trình bày với một hộp thoại bật lên mà nói, “tốt hơn kinh nghiệm trình duyệt, Cập Nhật phiên bản mới nhất của Chrome.”

Khi người dùng nhấp vào nút OK, tải xuống một tệp được gọi là chrome.apk, nhưng thay vì có một Cập Nhật trình duyệt Chrome, các tập tin chứa các Roaming Mantis malware.

Trong tiến trình Roaming Mantis cài đặt, người dùng sẽ được nhắc nhở để cho phép một số quyền bao gồm khả năng để xuất hiện trên đầu trang của các ứng dụng, truy cập danh sách liên lạc, thực hiện cuộc gọi điện thoại, thu thập các thông tin tài khoản, sending/ nhận được tin nhắn SMS, và ghi lại âm thanh. Khi các quyền đã được xác nhận bởi người dùng, các giai đoạn tiếp theo của thỏa hiệp bắt đầu.

Sử dụng khả năng của mình để xuất hiện trên đầu trang của các ứng dụng khác, Roaming Mantis malware sẽ hiển thị một thông điệp cảnh báo nói rằng, “số tài khoản tồn tại những rủi ro, sử dụng sau khi cấp giấy chứng nhận.”

Một khi người dùng nhấn nút Enter, một phiên bản giả của trang web của Google được lưu trữ trên một máy chủ web tạm thời trên điện thoại sẽ được hiển thị. Các trang giả mạo Hiển thị ID của người dùng Gmail và yêu cầu của người dùng tên và ngày sinh. Điều này sẽ cung cấp cho những kẻ tấn công của người dùng Google ID, đầy đủ tên và ngày sinh đó là đủ để bắt đầu ảnh hưởng đến thông tin ngân hàng.

Hầu hết các ngân hàng cần một yếu tố xác thực thứ hai (2FA) trước khi cho phép người dùng để thực hiện thay đổi, Tuy nhiên, các Roaming Mantis malware được ủy quyền để ngăn chặn tin nhắn SMS mà nên subvert nhiều 2FA quy trình.

Theo các chuyên gia, để giữ an toàn cho dữ liệu của người dùng nên an toàn các bộ định tuyến đầu tiên. Ngoài ra, Cập nhật phần mềm, các mật khẩu mạnh cho admin access và vô hiệu hóa từ xa truy cập vào giao diện quản trị trên bộ định tuyến sẽ làm cho nó khó khăn để thỏa hiệp.

Các mới nhất tấn công mục tiêu dịch vụ DNS đang chạy trên bộ định tuyến. Một dịch vụ DNS đang chạy trên một máy chủ bên trong mạng của bạn không phải là nguy cơ cho cuộc tấn công này (nhưng không phải là không thấm nước để tất cả các cuộc tấn công.) Vì vậy, chỉ cài đặt phần mềm từ các cửa hàng ứng dụng đáng tin cậy và phải quan tâm đến quyền được được yêu cầu.


Leave a Reply

Your email address will not be published. Required fields are marked *