Malware de DNS-HIJACKING que direciona usuários iOS, Android e de desktop no mundo todo





















O malware de sequestro de DNS de difusores difundidos que recentemente encontrou o alvo de dispositivos Android agora foi atualizado com seus recursos para segmentar dispositivos iOS e também usuários de desktop.

Apelidado de Roaming Mantis , o malware foi inicialmente encontrado seqüestrando roteadores da Internet no mês passado para distribuir o malware do Android banking projetado para roubar as credenciais de login dos usuários e o código secreto para autenticação de dois fatores.

De acordo com pesquisadores de segurança da Kaspersky Lab , o grupo criminoso por trás da campanha Roaming Mantis ampliou seus alvos adicionando ataques de phishing a dispositivos iOS e scripts de mineração de criptomoedas para usuários de PC.

Além disso, enquanto os ataques iniciais foram planejados para atingir usuários do Sudeste Asiático - incluindo a Coréia do Sul, China Bangladesh e Japão - a nova campanha agora apóia 27 idiomas para expandir suas operações para infectar pessoas na Europa e no Oriente Médio.

Como funciona o malware do Mantis Roaming


Semelhante à versão anterior, o novo malware Roaming Mantis é distribuído via sequestro de DNS , em que os invasores alteram as configurações de DNS dos roteadores sem fio para redirecionar o tráfego para sites maliciosos controlados por eles.

Assim, sempre que os usuários tentam acessar qualquer site através de um roteador comprometido, eles são redirecionados para sites desonestos, que servem:
  • aplicativos falsos infectados com malware bancário para usuários do Android,
  • sites de phishing para usuários do iOS,
  • Sites com script de mineração cryptocurrency para usuários de desktop
"Depois que o usuário [Android] é redirecionado para o site malicioso, ele é solicitado a atualizar o [app] do navegador. Isso leva ao download de um aplicativo malicioso chamado chrome.apk (também havia outra versão, chamada facebook.apk ), "dizem os pesquisadores.
Para evitar a detecção, sites falsos geram novos pacotes em tempo real com arquivos apk maliciosos exclusivos para download, e também definem o nome do arquivo como oito números aleatórios.

Uma vez instalados, os invasores podem controlar dispositivos Android infectados usando 19 comandos backdoor integrados, incluindo – sendSms, setWifi, gcont, lock, onRecordAction, call, get_apps, ping e muito mais.

Se as vítimas possuem um dispositivo iOS, o malware redireciona os usuários para um site de phishing que imita o site da Apple, alegando ser "security.app.com", e solicita que insiram seu ID de usuário, senha, número de cartão e data de validade do cartão. e número de CVV.
script de criptografia-mineração
Além de roubar informações confidenciais de dispositivos Android e iOS, os pesquisadores descobriram que o Roaming Mantis injeta um script de mineração de criptografia baseado em navegador da CoinHive em cada página de destino, se visitado usando navegadores de desktop para mineração do Monero.

Tendo em mente essas novas capacidades e o rápido crescimento da campanha, os pesquisadores acreditam que "os que estão por trás têm uma forte motivação financeira e provavelmente são bem financiados".

Aqui está como se proteger de Mantis Roaming


Para proteger-se de tal malware, é recomendável garantir que seu roteador esteja executando a versão mais recente do firmware e protegido por uma senha forte.

Como a campanha de invasão está usando servidores DNS controlados pelo invasor para falsificar domínios legítimos e redirecionar os usuários para arquivos de download mal-intencionados, é recomendável que você verifique se os sites que você está visitando têm HTTPS ativado.

Você também deve desativar o recurso de administração remota do roteador e codificar um servidor DNS confiável nas configurações de rede do sistema operacional.

Usuários de dispositivos Android sempre são aconselhados a instalar aplicativos de lojas oficiais e desabilitar a instalação de aplicativos de fontes desconhecidas em seus smartphones acessando Configurações → Segurança → Fontes desconhecidas.

Para verificar se o seu roteador Wi-Fi já está comprometido, revise suas configurações de DNS e verifique o endereço do servidor DNS. Se não corresponder ao emitido pelo seu provedor, altere-o de volta para o correto. Altere também todas as suas senhas de conta imediatamente.

 FONTE:THEHACKERNEWS

Comentários