Roaming Mantis Malware serangan pengguna Android melalui penghala digodam

Computer Security News

Kaspersky Keselamatan penyelidik mendapati malware Android baru, dipanggil perantauan Mantis, diedarkan melalui trick mudah berdasarkan DNS rampasan.

Pemaju Roaming Mantis malware beroperasi seperti seseorang yang mempunyai perisian ditukar keluar buku telefon anda dengan salah satu mereka dicipta, di mana semua nombor-nombor telefon penting yang telah ditukar untuk memanggil rakan-rakan pelakon lapuk dan bukannya pihak bank yang anda telah cuba untuk memanggil.

Kemudian, sesiapa sahaja menjawab telefon yang berjaya meyakinkan anda mereka sebenarnya adalah pihak bank yang anda fikir anda telah menelefon. Anda menjawab soalan keselamatan anda melalui telefon dan apabila anda putuskan, pelakon buruk itu kemudian menghubungi bank anda dan berjaya masquerades seperti anda kerana mereka kini mempunyai jawapan kepada soalan keselamatan anda.

Ini adalah semua analogi yang cacat kerana tiada siapa menggunakan buku telefon lagi, Walau bagaimanapun, jika anda menggantikan “buku-buku telefon” dengan “DNS”, ia bukanlah satu analogi lagi. Ia adalah satu serangan siber yang sebenar yang kini mensasarkan pengguna telefon mudah alih di Asia cuba untuk mencuri maklumat Bank mereka.

Bulan lepas, laporan tentang digodam penghala di Jepun yang melencongkan pengguna ke laman web yang terjejas telah dibebaskan. Menurut siasatan makmal Kaspersky, serangan siber itu mensasarkan pengguna di Asia dengan laman web palsu yang disesuaikan untuk Bahasa Inggeris, Korea, Jepun, dan Bahasa Cina. Statistik jangkitan menunjukkan bahawa pada masa ini pengguna Tempahan terjejas terletak di Bangladesh, Jepun dan Korea Selatan.

Serangan siber itu bermula apabila pengguna cuba untuk mengakses laman web yang sah melalui router terjejas. Alih-alih sampai ke laman web yang dimaksudkan, pengguna diarahkan ke satu salinan Laman web yang meyakinkan dan akan disajikan dengan satu kotak dialog popup yang berkata, “untuk lebih pengalaman melayari, kemas kini kepada versi terbaru Chrome.”

Apabila pengguna klik pada butang OK, mempunyai fail bernama chrome.apk dimuat turun, tetapi sebaliknya mengandungi pelayar Chrome untuk dikemaskini, fail yang mengandungi Roaming Mantis malware.

Semasa proses pemasangan Mantis perantauan, pengguna akan diminta untuk membenarkan sejumlah kebenaran termasuk keupayaan untuk muncul di atas aplikasi lain, mengakses senarai kenalan, membuat panggilan telefon, mengumpul maklumat akaun, sending/ menerima mesej SMS, dan rakaman audio. Apabila kebenaran ini telah disahkan oleh pengguna, peringkat seterusnya kompromi bermula.

Menggunakan keupayaannya untuk muncul di atas aplikasi lain, Roaming Mantis malware memaparkan mesej amaran berkata, “akaun No. wujud risiko, selepas pensijilan.”

Apabila pengguna menekan butang Enter, versi palsu sebuah laman web Google yang dihoskan pada pelayan web sementara pada telefon dipaparkan. Muka palsu menunjukkan ID pengguna Gmail dan meminta pengguna nama dan tarikh lahir. Ini akan menyediakan penyerang tersebut dengan Google ID pengguna, nama penuh dan tarikh lahir yang cukup untuk memulakan menjejaskan maklumat perbankan.

Kebanyakan Bank memerlukan faktor pengesahan kedua (2FA) sebelum membenarkan pengguna untuk membuat perubahan, Walau bagaimanapun, Roaming Mantis malware dibenarkan untuk memintas mesej SMS yang harus ditabal banyak 2FA proses.

Menurut pakar, untuk menyimpan data mereka selamat pengguna perlu mendapatkan penghala terlebih dahulu. Selain itu, rekabentuk firmware, kata laluan yang kuat untuk capaian pentadbiran dan melumpuhkan capaian jauh ke antara muka pentadbiran pada penghala akan sukar untuk bertolak ansur.

Tempahan menyerang sasaran DNS perkhidmatan yang berada pada penghala. Perkhidmatan DNS yang berjalan pada pelayan dalam rangkaian anda bukanlah risiko serangan ini (tapi bukanlah kedap kepada semua serangan.) Oleh itu, hanya pasang perisian dari kedai-kedai aplikasi yang dipercayai dan memberi perhatian kepada keizinan yang telah dipohon.


Leave a Reply

Your email address will not be published. Required fields are marked *