حمله یک بدافزار (Roaming Mantis) از نوع ربودن DNS به کاربران اندروید، iOS و دسکتاپ‎

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

q688

 

یک بدافزار از نوع ربودن DNS روترها که بسیار گسترده شده به‌تازگی دستگاه‌های اندرویدی را هدف قرار داده است و توانایی‌های خود را برای هدف قرار دادن دستگاه‌های iOS و کاربران دسکتاپ ارتقا داده است.

این بدافزار که Roaming Mantis نامیده شده است، در ابتدا در ماه گذشته کشف شد که روترهای اینترنت را برای توزیع یک بدافزار بانکی تحت اندروید می‌ربود که این بدافزار به‌گونه‌ای طراحی شده بود که اطلاعات ورود و کد مخفیِ احراز هویت دومرحله‌ای کاربران را سرقت می‌کرد.

به گفته محققان امنیتی در آزمایشگاه کسپرسکی، مجرمان پشت کمپین Roaming Mantis اهداف خود را با افزودن حملات فیشینگ برای دستگاه‌های iOS و اسکریپت رمزنگاری mining برای کاربران کامپیوتر گسترش داده‌اند.

علاوه بر این، درحالی‌که حملات اولیه برای هدف قرار دادن کاربران جنوب شرق آسیا ازجمله کره جنوبی، چین، بنگلادش و ژاپن طراحی شده بود، این کمپین جدید اکنون از ۲۷ زبان برای گسترش عملیات خود برای آلوده کردن مردم در سراسر اروپا و خاورمیانه پشتیبانی می‌کند.

بدافزار Roaming Mantis چگونه کار می‌کند؟

همانند نسخه قبلی، تروجان جدید Roaming Mantis از طریق ربودن DNS توزیع شده است, که در آن مهاجمان تنظیمات DNS روترهای بی‌سیم را تغییر می‌دهند تا ترافیک را به وب‌سایت‌های مخرب کنترل‌شده توسط خود تغییر دهند.

بنابراین، هر زمان که کاربران از طریق یک روتر آسیب‌پذیر اقدام به دسترسی به یک وب‌سایت می‌کنند، به وب‌سایت‌های سرکش(۱) هدایت می‌شوند که موارد زیر را ارائه می‌دهند:

برنامه‌های جعلی با نرم‌افزارهای مخرب بانکی که کاربران اندروید را آلوده می‌کنند.
سایت‌های فیشینگ برای کاربران iOS
سایت‌هایی با اسکریپت mining ارزهای رمزنگاری‌شده برای کاربران دسکتاپ
محققان در این رابطه می‌گویند: “پس‌ازآنکه کاربر اندروید به یک سایت مخرب هدایت می‌شود، از آن‌ها خواسته می‌شود که مرورگر خود را به‌روز کند. این باعث می‌شود که یک برنامه مخرب با نام chrome.apk دانلود شود (نسخه دیگری نیز به نام facebook.apk دارد)”.

برای جلوگیری از تشخیص، وب‌سایت‌های جعلی بسته‌های جدید را در زمان واقعی با فایل‌های apk مخرب برای دانلود تولید می‌کنند و همچنین نام فایل را به‌صورت هشت عدد تصادفی تنظیم می‌کنند.

پس از نصب، مهاجمان می‌توانند با استفاده از ۱۹ فرمان در پشتی داخلی، ازجمله sendSms، setWifi، gcont، lock، onRecordAction، call، get_apps، ping و غیره دستگاه‌های آلوده اندروید را کنترل کنند.

اگر قربانیان یک دستگاه iOS داشته باشند، بدافزار کاربر را به یک وب‌سایت فیشینگ هدایت می‌کند که وب‌سایت اپل را تقلید کرده و ادعا می‌کند که security.app.com است و از آن‌ها می‌خواهد شناسه کاربر، رمز عبور، شماره کارت، تاریخ انقضای کارت خود و شماره CVV را وارد کنند.

q689

علاوه بر سرقت اطلاعات حساس از دستگاه‌های اندرویدی و iOS، محققان دریافتند که Roaming Mantis یک مرورگر اسکریپت mining رمزنگاری مبتنی بر مرورگر را از CoinHive بر روی هر صفحه که توسط مرورگرهای دسکتاپ بازدید می‌شود به‌منظور mine کردن ارز رمزنگاری‌شده Monero تزریق می‌کند.

محققان معتقدند که با توجه به این توانایی‌های جدید و رشد سریع این کمپین، “کسانی که پشت آن قرار دارند انگیزه‌های مالی قوی دارند و احتمالاً به‌خوبی تأمین مالی می‌شوند.”

چگونگی از خود در برابر Roaming Mantis محافظت کنید؟

برای محافظت از خود در برابر چنین بدافزارهایی، توصیه می‌شود مطمئن شوید که روتر شما آخرین نسخه سیستم‌عامل را اجرا می‌کند و با یک رمز عبور قوی محافظت می‌شود.

ازآنجاکه این کمپین تهاجم از سرورهای DNS کنترل‌شده توسط مهاجم برای فریب دادن دامنه‌های قانونی استفاده می‌کند و کاربران را به سمت دانلود فایل‌های مخرب هدایت می‌کند، توصیه می‌شود مطمئن شوید سایت‌هایی که بازدید می‌کنید، دارای HTTPS فعال هستند.

شما همچنین باید ویژگی مدیریت از راه دورِ روترِ خود را غیرفعال کنید و یک سرور DNS قابل‌اعتماد را به تنظیمات شبکه سیستم‌عامل hardcode کنید.

به کاربران دستگاه‌های اندرویدی همیشه توصیه می‌شود برنامه‌ها را از فروشگاه‌های رسمی نصب کنند و نصب برنامه‌ها را از منابع نامشخص بر روی گوشی‌های هوشمند خود غیرفعال کنند.

برای بررسی اینکه آیا روتر Wi-Fi شما در حال حاضر به خطر افتاده است یا نه، تنظیمات DNS خود و آدرس سرور DNS را بررسی کنید. اگر مطابق با تنظیمات ارائه‌دهنده‌ی سرویس اینترنت شما نبود، آن را به تنظیمات درست تغییر دهید. همچنین تمام کلمات عبور حساب‌های کاربری خود را بلافاصله تغییر دهید.