دستکاری دی‌ان‌‌اس‌های روتر برای توزیع بدافزارهای بانکی در اندروید

هکرهای موسوم به رومینگ مانتیس «Roaming Mantis» به منظور فریب و سرقت اطلاعات قربانیان خود، تنظیمات دی‌ان‌اس را در روترهای آسیب‌پذیر و ضعیف را دستکاری کرده و از همین طریق اقدام به اعمال مجرمانه می‌کنند. حمله به دی‌ان‌اس و دستکاری آن، به هکرها اجازه می‌دهد که در ترافیک کاربران مداخله کرده و در صفحات وب تبلیغات مزاحم منتشر کنند و همینطور کاربران را به صفحات فیشینگ هدایت کنند که اطلاعات حساسی مانند مشخصات ورود به سیستم، جزئیات حساب بانکی و غیره را به سرقت ببرند.

دستکاری و سرقت دی‌ان‌اس

ربودن دی‌ان‌اس روترها برای اهداف مخرب موضوع جدیدی نیست. تغییر دهنده‌های دی‌ان‌اس «DNSChanger» و سوئیچرها «Switcher» نیز دو بدافزاری بودند که با تغییر تنظیمات دی‌ان‌اس روترهای بی‌سیم کار می‌کردند تا ترافیک را به وب‌سایت‌های مخرب تحت کنترل مهاجمان منتقل کنند.

پژوهشگران امنیتی در پژوهشگاه کسپرسکی گفته‌اند که کمپین بدافزاری رومینگ مانتیس از ماه فوریه سال جاری، گروهی از کاربرانی را در کشورهای آسیایی  از جمله کره جنوبی، چین، بنگلادش و ژاپن هدف قرار داده است.

مهاجمان پس از دستکاری و فعال کردن تنظیمات دی‌ان‌اس مخرب، قربانیان خود را به نسخه‌های تقلبی از وب سایتٰ‌هایی که کاربر قصد دسترسی به آن‌ها را دارد، هدایت می‌کنند و پیامی به آن‌ها با مضمون «برای استفاده بهتر از صفحات وب، مرورگر کروم خود را به آخرین نسخه به‌روز رسانی کنید» نمایش می‌دهند و فایل جعلی مرورگر (آلوده به بدافزار رومینگ مانتیس) را برای دانلود پیشنهاد می‌دهند.

پیشنهاد برای نصب برنامه‌های جعلی و آلوده

پس از آن که کاربر بدافزار رومینگ مانتیس را به عنوان مرورگر کروم برای اندروید دانلود و نصب می‌کند، این بدافزار اجازه می‌گیرد تا به اطلاعات مختلفی در دستگاه دسترسی یابد. دسترسی‌هایی مانند اجازه مدیریت پیامک‌ها و پیام‌های چند رسانه‌ای، برقراری تماس صوتی و ضبط صدا، دسترسی به اطلاعات ذخیره شده در حافظه خارجی دستگاه، کنترل و تعامل با سایر برنامه‌ها و غیره.

دستکاری دی‌ان‌اس و تغییر مسیر کاربر به صفحات جعلی، منجر به نصب برنامه‌های آلوده به بدافزار بانکی با نام‌های facebook.apk و chrome.apk می‌شود.

اگر این برنامه‌ها نصب شوند، بدافزار بلافاصله در فعالیت تمام برنامه‌های در حال اجرا مداخله کرده و پیام‌های هشدار جعلی را نشان می‌دهد که منظور مهاجمان از این پیام‌ها در این بدافزار این است که به کاربر بگویند که «دسترسی به حساب کاربری‌تان ندارید و این خطری برای شماست، برای استفاده باید احراز هویت کنید» و با همین شیوه اطلاعات حساب‌های کاربری آن‌ها را به سرقت ببرند.

کنترل فعالیت‌ها و سرقت پیامک

بدافزار رومینگ مانتیس بعد از اجرا، یک سرور وب محلی در دستگاه آلوده اجرا کرده و مرورگر وب را برای هدایت به یک صفحه جعلی به نام سایت گوگل باز می‌کند و از کاربر می‌خواهد نام و تاریخ تولد خود را بنویسد. پس از وارد کردن نام و تاریخ تولد مرورگر آن‌ها را به یک صفحه خالی به آدرس hxxp://127.0.0.1:${random_port}/submit هدایت می‌کند. متخصصان می‌گویند این صفحه نیز مانند توزیع کننده بدافزار از زبان‌های کره‌ای، چینی، ژاپنی و انگلیسی پشتیبانی می‌کند. همچنین از آنجا که این بدافزار قبلا مجوز خواندن و نوشتن پیامک روی دستگاه آلوده را به دست آورده است، به مهاجمان اجازه می‌دهد تا کد احراز هویت مرحله دوم حساب قربانیان را به‌صورت مخفیانه به سرقت ببرند.

همچنین محققان دریافته‌اند این بدافزار از وب‌سایت یک شبکه اجتماعی محبوب چینی (my.tv.sohu.com) به عنوان سرور فرمان و کنترل استفاده می‌کند.

براساس داده‌های دور سنجی کسپرسکی، بدافزار رومینگ مانتیس بیش از ۶۰۰۰ بار دیده شده است، هرچند گزارش از ۱۵۰ کاربر منحصر به فرد به دست آمد.

محققان امنیتی برای پیش‌گیری از آلودگی به این بدافزار و بدافزارهای مشابه دیگر به کاربران توصیه کرده‌اند که مطمئن شوند که روتر مورد استفاده آن‌ها، آخرین نسخه نرم‌افزاری مربوط به خود را اجرا می‌کند و با یک رمز عبور قوی محافظت می‌شود. همچنین گفته‌اند ویژگی مدیریت از راه دور روتر را غیر فعال کرده و یک سرور دی‌ان‌اس قابل اعتماد را به تنظیمات شبکه اینترنت روتر متصل کنید.

مطالعه بیشتر:

- Roaming Mantis uses DNS hijacking to infect Android smartphones