Dünya Çapında iOS, Android ve Masaüstü Kullanıcılarını Hedefleyen DNS-Hijacking Malware

Son zamanlarda Android cihazlarını hedefleyen yaygın yönlendiricilerin DNS ele geçirme kötü amaçlı yazılımları artık yeteneklerini iOS cihazlarının yanı sıra masaüstü kullanıcılarına da yükseltmiştir.

Dubbed Roaming Mantis , kötü amaçlı yazılım başlangıçta, kullanıcıların giriş kimlik bilgilerini ve iki faktörlü kimlik doğrulama için gizli kodu çalmak üzere tasarlanmış Android bankacılık kötü amaçlı yazılımlarını dağıtmak için geçen ay İnternet yönlendiricilerini kaçırıyordu . Kaspersky Labs’in güvenlik araştırmacılarına göre , Roaming Mantis kampanyasının ardındaki suç grubu, iOS cihazları için kimlik avı saldırıları ve PC kullanıcıları için kripto-para birimi madenciliği betiği ekleyerek hedeflerini genişletti.

Dahası, ilk saldırılar Güney Kore, Güney Kore, Çin Bangladeş ve Japonya’nın da dahil olduğu kullanıcıları hedeflemek için tasarlanırken, yeni kampanya şu anda Avrupa ve Orta Doğu’daki insanları etkilemek için faaliyetlerini genişletmek için 27 dili destekliyor.

Dolaşım Mantis Malware Nasıl Çalışır?
Bir önceki versiyona benzer şekilde, yeni Roaming Mantis kötü amaçlı yazılımları DNS ele geçirme yoluyla dağıtılmakta olup , saldırganlar trafiği yönlendiren kötü amaçlı web sitelerine yönlendirmek için kablosuz yönlendiricilerin DNS ayarlarını değiştirmektedir.
Dolayısıyla, kullanıcılar herhangi bir web sitesine bir güvenlik duvarı yönlendiricisi üzerinden erişmeye çalıştığında, aşağıdakileri gerçekleştiren dolandırıcı web sitelerine yönlendirilir:

-Android kullanıcılarına kötü amaçlı yazılım yüklemesi yapmaktan muzdarip sahte uygulamalar
-iOS kullanıcıları için kimlik avı siteleri,
-Masaüstü kullanıcılara cryptocurrency madenciliği komut dosyası içeren siteler

Algılanmaktan kaçmak için, sahte web siteleri, indirilebilecek benzersiz kötü niyetli apk dosyaları ile gerçek zamanlı olarak yeni paketler oluşturur ve ayrıca dosya adını sekiz rastgele sayı olarak ayarlar.

Bir kez kurulduktan sonra saldırganlar, içeri aktarılmış Android cihazlarını-sendSms, setWifi, gcont, lock, onRecordAction, call, get_apps, ping ve daha fazlası dahil olmak üzere 19 adet yerleşik backdoor komutu kullanarak kontrol edebilir.

Kurbanlar bir iOS cihazına sahipse, kötü amaçlı yazılım kullanıcıları Apple web sitesini taklit eden ve ‘security.app.com’ olduğunu iddia eden bir phishing sitesine yönlendirir ve kullanıcı kimliklerini, şifresini, kart numarasını, kart son kullanma tarihini girmelerini ister. ve CVV numarası.

crypto-mining-script

Android ve iOS cihazlarından gelen hassas bilgileri çalmanın yanı sıra, araştırmacılar, Roaming Mantis’in, Monero’yu masaüstü tarayıcıları kullanarak ziyaret ettikleri takdirde, her açılış sayfasındaki CoinHive’dan tarayıcı tabanlı bir kripto para birimi madenciliği komut dosyası enjekte ettiğini buldu.

Bu yeni yetenekleri ve kampanyanın hızlı büyümesini akılda tutarak araştırmacılar, “arkasındakilerin güçlü bir mali motivasyona sahip olduklarını ve muhtemelen iyi finanse edildiğini” düşünüyorlar.

Peki Roaming Mantis’den Nasıl Koruyacağınız?
Kendinizi bu tür kötü amaçlı yazılımlardan korumak için, yönlendiricinizin ürün yazılımının en son sürümünü çalıştırdığından ve güçlü bir parola ile korunmasını sağlamanız önerilir.

Korsanlık kampanyası, yasal alan adları taklit etmek ve kullanıcıları kötü amaçlı indirme dosyalarına yönlendirmek için saldırgan tarafından denetlenen DNS sunucularını kullandığından , ziyaret ettiğiniz sitelerin HTTPS etkin olduğundan emin olmanız önerilir.

Yönlendiricinizin uzaktan yönetim özelliğini de devre dışı bırakmalı ve güvenilir bir DNS sunucusunu işletim sistemi ağ ayarlarına sabitlemelisiniz.

Android cihaz kullanıcılarına her zaman resmi mağazalardan uygulama yüklemeleri ve bilinmeyen kaynaklardaki uygulamaların yüklenmesini akıllı telefonlarında Ayarlar → Güvenlik → Bilinmeyen kaynaklar’a giderek devre dışı bırakmaları önerilir.

Kablosuz yönlendiricinizin güvenli olup olmadığını kontrol etmek için DNS ayarlarınızı gözden geçirin ve DNS sunucu adresini kontrol edin. Sağlayıcınız tarafından verilenle uyuşmuyorsa, doğru olanı değiştirin. Ayrıca tüm hesap şifrelerinizi hemen değiştirin.