Roaming Mantis Kötü Yazılım Dağıtım Kampanyası, Android kötü amaçlı yazılımlarını, enfeksiyonu diğer cihazlara yaymak için savunmasız wifi yönlendiricilerindeki DNS ayarlarını değiştiren bir DNS değiştirici içerecek şekilde güncelledi.
Eylül 2022'den başlayarak, araştırmacılar 'Roaming Mantis' kimlik bilgisi hırsızlığı ve kötü amaçlı yazılım dağıtım kampanyasını, modellerine göre savunmasız wifi yönlendiricileri algılayan ve DNS'lerini değiştiren yeni bir sürümünü kullanarak gözlemlediler.
Kötü amaçlı yazılım daha sonra, savunmasız bir WiFi yönlendiricisinin DNS ayarlarını ele geçirmek için bir HTTP isteği oluşturur ve bağlı cihazların kimlik avı formlarını barındıran veya Android kötü amaçlı yazılımları bırakan kötü amaçlı web sayfalarına yeniden yönlendirilmesine neden olur.
Güncellenmiş Wroba.O/Xloader Android kötü amaçlı yazılım varyantı, yıllardır dolaşım mantis aktivitesini izleyen Kaspersky araştırmacıları tarafından keşfedildi. Kaspersky, Roaming Mantis'in en az 2018'den beri DNS kaçırma kullandığını açıklıyor, ancak en son kampanyadaki yeni unsur, kötü amaçlı yazılımın belirli yönlendiricileri hedeflediğidir.
Bu güncellenmiş kötü amaçlı yazılımları kullanan en güncel kampanya, esas olarak Güney Kore'de kullanılan belirli WiFi yönlendirici modellerini hedeflemektedir. Yine de, bilgisayar korsanları diğer ülkelerde yaygın olarak kullanılan yönlendiricileri içerecek şekilde değiştirebilirler.
Bu yaklaşım, tehdit aktörlerinin daha hedefli saldırılar yapmalarına ve diğer tüm durumlarda tespitten kaçarken yalnızca belirli kullanıcıları ve bölgeleri tehlikeye atmalarına olanak tanır.
Önceki dolaşım Mantis kampanyaları Japonya, Avusturya, Fransa, Almanya, Türkiye, Malezya ve Hindistan'da kullanıcıları hedef aldı.
En son dolaşım Mantis kampanyaları, hedefleri kötü amaçlı bir web sitesine yönlendirmek için SMS kimlik avı metinlerini (sminging) kullanıyor.
Kullanıcının mobil cihazı Android ise, kullanıcıyı wroba.o/xloader kötü amaçlı yazılım olan kötü amaçlı Android APK'yı yüklemesini ister. Açılış sayfası bunun yerine iOS kullanıcılarını kimlik bilgilerini çalmaya çalışan bir kimlik avı sayfasına yönlendirecektir.
Xloader kötü amaçlı yazılım kurbanın Android cihazına yüklendikten sonra, bağlı WiFi yönlendiricisinden varsayılan ağ geçidi IP adresini alır. Ardından, cihaz modelini keşfetmek için varsayılan bir şifre kullanarak yönetici web arayüzüne erişmeye çalışır.
Xloader artık belirli WiFi yönlendirici modellerini tespit etmek için kullanılan 113 sabit kodlu dizeye sahiptir ve bir eşleşme varsa, kötü amaçlı yazılım, yönlendiricinin ayarlarını değiştirerek DNS kaçırma adımını gerçekleştirir.
Kaspersky, DNS değiştiricinin yönlendiriciye erişmek için varsayılan kimlik bilgilerini (admin/admin) kullandığını ve ardından tespit edilen modele bağlı olarak farklı yöntemler kullanarak DNS ayarlarında değişiklik yaptığını söylüyor.
Analistler ayrıca Mantis Roaming Mantis tarafından kullanılan DNS sunucusunun, bir mobil cihazdan erişildiğinde belirli alan adlarını yalnızca belirli açılış sayfalarına çözdüğünü ve bu da güvenlik araştırmacılarından gizlenmesi için bir taktik olduğunu açıklıyor.
Yönlendiricinin DNS ayarları artık değiştiğinde, diğer Android cihazlar WiFi ağına bağlandığında, kötü amaçlı açılış sayfasına yönlendirilecek ve kötü amaçlı yazılımları yüklemeniz istenecektir.
Bu, ülkede çok sayıda insana hizmet veren kamu ağlarında temiz WiFi yönlendiricilerini daha da ihlal etmek için sürekli bir enfekte cihaz akışı oluşturur.
Kaspersky, bu olasılığın dolaşım Mantis kampanyasına “kasıtlı olarak zincirlenmemiş” bir özellik verdiği ve kötü amaçlı yazılımın sıkı kontrol olmadan yayılmasına izin verdiği konusunda uyarıyor.
ABD tabanlı hedefler için iniş sayfası olmasa da ve Mantis, ülkede kullanılan yönlendirici modellerini aktif olarak hedefliyor gibi görünmese de, Kaspersky’nin telemetrisi tüm Xloader kurbanlarının% 10'unun ABD'de olduğunu gösteriyor.
Kullanıcılar, SMS aracılığıyla alınan bağlantılara tıklamaktan kaçınarak dolaşan Mantis kampanyalarından kendilerini koruyabilirler. Ancak, daha da önemlisi, APK'ları Google Play'in dışına yüklemekten kaçının.
Yeni 'Hook' Android kötü amaçlı yazılım, bilgisayar korsanlarının telefonunuzu uzaktan kontrol etmesine izin verir
Amazon'daki Android TV kutusu, kötü amaçlı yazılımla önceden yüklendi
StrongPity Hacker'ları Truva Telegram Uygulaması aracılığıyla Android kullanıcılarını hedefleyin
Spynote android kötü amaçlı yazılım enfeksiyonları kaynak kodu sızıntısından sonra artış
Netgear, kullanıcıları yakın zamanda sabit wifi yönlendirici hatasını yamaya uyarlar
Kaynak: Bleeping Computer