برای کارکرد بهتر وب‌سایت و بهبود تجربه کاربری شما با سرتفا، ما نیاز به اجرای سرویس تجزیه و تحلیل آماری داریم، آیا موافق این موضوع هستید؟

تهدیدی دیگر برای کاربران اندروید

دستکاری دی‌ان‌‌اس‌های روتر برای توزیع بدافزارهای بانکی در اندروید

محققان امنیتی در مورد عملیات بدافزارهایی هشدار می‌دهند که با سرقت و دستکاری تنظیمات روترهای اینترنت خانگی، اقدام به توزیع بدافزارهای بانکی برای سیستم‌عامل اندرویدی می‌کنند. این بدافزارها اطلاعات حساس کاربران، مشخصات ورود به حساب‌های کاربری و کدهای پیامکی ورود دو مرحله‌ای آن‌ها را به سرقت می‌برند.


03 اردیبهشت 97 | 15:02
دستکاری دی‌ان‌‌اس‌های روتر برای توزیع بدافزارهای بانکی در اندروید

هکرهای موسوم به رومینگ مانتیس «Roaming Mantis» به منظور فریب و سرقت اطلاعات قربانیان خود، تنظیمات دی‌ان‌اس را در روترهای آسیب‌پذیر و ضعیف را دستکاری کرده و از همین طریق اقدام به اعمال مجرمانه می‌کنند. حمله به دی‌ان‌اس و دستکاری آن، به هکرها اجازه می‌دهد که در ترافیک کاربران مداخله کرده و در صفحات وب تبلیغات مزاحم منتشر کنند و همینطور کاربران را به صفحات فیشینگ هدایت کنند که اطلاعات حساسی مانند مشخصات ورود به سیستم، جزئیات حساب بانکی و غیره را به سرقت ببرند.

 

دستکاری و سرقت دی‌ان‌اس

ربودن دی‌ان‌اس روترها برای اهداف مخرب موضوع جدیدی نیست. تغییر دهنده‌های دی‌ان‌اس «DNSChanger» و سوئیچرها «Switcher» نیز دو بدافزاری بودند که با تغییر تنظیمات دی‌ان‌اس روترهای بی‌سیم کار می‌کردند تا ترافیک را به وب‌سایت‌های مخرب تحت کنترل مهاجمان منتقل کنند.

پژوهشگران امنیتی در پژوهشگاه کسپرسکی گفته‌اند که کمپین بدافزاری رومینگ مانتیس از ماه فوریه سال جاری، گروهی از کاربرانی را در کشورهای آسیایی  از جمله کره جنوبی، چین، بنگلادش و ژاپن هدف قرار داده است.

مهاجمان پس از دستکاری و فعال کردن تنظیمات دی‌ان‌اس مخرب، قربانیان خود را به نسخه‌های تقلبی از وب سایتٰ‌هایی که کاربر قصد دسترسی به آن‌ها را دارد، هدایت می‌کنند و پیامی به آن‌ها با مضمون «برای استفاده بهتر از صفحات وب، مرورگر کروم خود را به آخرین نسخه به‌روز رسانی کنید» نمایش می‌دهند و فایل جعلی مرورگر (آلوده به بدافزار رومینگ مانتیس) را برای دانلود پیشنهاد می‌دهند.

 

پیشنهاد برای نصب برنامه‌های جعلی و آلوده

پس از آن که کاربر بدافزار رومینگ مانتیس را به عنوان مرورگر کروم برای اندروید دانلود و نصب می‌کند، این بدافزار اجازه می‌گیرد تا به اطلاعات مختلفی در دستگاه دسترسی یابد. دسترسی‌هایی مانند اجازه مدیریت پیامک‌ها و پیام‌های چند رسانه‌ای، برقراری تماس صوتی و ضبط صدا، دسترسی به اطلاعات ذخیره شده در حافظه خارجی دستگاه، کنترل و تعامل با سایر برنامه‌ها و غیره.


دستکاری دی‌ان‌اس و تغییر مسیر کاربر به صفحات جعلی، منجر به نصب برنامه‌های آلوده به بدافزار بانکی با نام‌های facebook.apk و chrome.apk می‌شود.


اگر این برنامه‌ها نصب شوند، بدافزار بلافاصله در فعالیت تمام برنامه‌های در حال اجرا مداخله کرده و پیام‌های هشدار جعلی را نشان می‌دهد که منظور مهاجمان از این پیام‌ها در این بدافزار این است که به کاربر بگویند که «دسترسی به حساب کاربری‌تان ندارید و این خطری برای شماست، برای استفاده باید احراز هویت کنید» و با همین شیوه اطلاعات حساب‌های کاربری آن‌ها را به سرقت ببرند.

 

کنترل فعالیت‌ها و سرقت پیامک

بدافزار رومینگ مانتیس بعد از اجرا، یک سرور وب محلی در دستگاه آلوده اجرا کرده و مرورگر وب را برای هدایت به یک صفحه جعلی به نام سایت گوگل باز می‌کند و از کاربر می‌خواهد نام و تاریخ تولد خود را بنویسد. پس از وارد کردن نام و تاریخ تولد مرورگر آن‌ها را به یک صفحه خالی به آدرس hxxp://127.0.0.1:${random_port}/submit هدایت می‌کند. متخصصان می‌گویند این صفحه نیز مانند توزیع کننده بدافزار از زبان‌های کره‌ای، چینی، ژاپنی و انگلیسی پشتیبانی می‌کند. همچنین از آنجا که این بدافزار قبلا مجوز خواندن و نوشتن پیامک روی دستگاه آلوده را به دست آورده است، به مهاجمان اجازه می‌دهد تا کد احراز هویت مرحله دوم حساب قربانیان را به‌صورت مخفیانه به سرقت ببرند.

همچنین محققان دریافته‌اند این بدافزار از وب‌سایت یک شبکه اجتماعی محبوب چینی (my.tv.sohu.com) به عنوان سرور فرمان و کنترل استفاده می‌کند.

براساس داده‌های دور سنجی کسپرسکی، بدافزار رومینگ مانتیس بیش از ۶۰۰۰ بار دیده شده است، هرچند گزارش از ۱۵۰ کاربر منحصر به فرد به دست آمد.


محققان امنیتی برای پیش‌گیری از آلودگی به این بدافزار و بدافزارهای مشابه دیگر به کاربران توصیه کرده‌اند که مطمئن شوند که روتر مورد استفاده آن‌ها، آخرین نسخه نرم‌افزاری مربوط به خود را اجرا می‌کند و با یک رمز عبور قوی محافظت می‌شود. همچنین گفته‌اند ویژگی مدیریت از راه دور روتر را غیر فعال کرده و یک سرور دی‌ان‌اس قابل اعتماد را به تنظیمات شبکه اینترنت روتر متصل کنید.

 


مطالعه بیشتر:

- Roaming Mantis uses DNS hijacking to infect Android smartphones

 

 

گروه خبر سرتفا

گروه خبر سرتفا

یکی از اهداف سرتفا، انتشار سریع اخبار مربوط به رویدادها و رخدادهای حوزه امنیت سایبری است. بر همین اساس، گروه خبر سرتفا پس انتخاب اخبار از منابع رسمی و معتبر خارجی، اقدام به ترجمه، ویرایش و ساده‌سازی خبر برای مخاطبان این حوزه می‌کند.