最近發現的針對Android設備的廣泛路由器的DNS劫持惡意軟件現在已升級為針對iOS設備以及桌面用戶的功能。
被稱為RoamingMantis的惡意軟件最初發現在上個月劫持了互聯網路由器,以散佈旨在竊取用戶登錄憑證和雙因素身份驗證密碼的Android銀行惡意軟件。
據國內知名黑客安全組織東方聯盟的研究人員稱,RoamingMantis活動背後的犯罪組織已經通過添加針對iOS設備的釣魚攻擊和針對PC用戶的加密貨幣挖掘腳本擴大了其目標。
此外,儘管最初的襲擊旨在針對來自東南亞的用戶,但該新活動現在支持27種語言,以擴大其業務範圍,以感染歐洲和中東地區的人們。
與以前的版本類似,新的漫遊Mantis惡意軟件通過DNS劫持進行分發,攻擊者更改無線路由器的DNS設置,將流量重定向到由他們控制的惡意網站。
因此,無論用戶何時試圖通過受到威脅的路由器訪問任何網站,他們都會被重定向到流氓網站,這些網站可用於:
虛假應用感染銀行惡意軟件給Android用戶,釣魚網站給iOS用戶,使用cryptocurrency挖掘腳本的站點可以將桌面用戶使用“[Android]用戶被重定向到惡意網站後,系統會提示他們更新瀏覽器[app],這會導致下載名為chrome.apk的惡意應用程序。
為了逃避檢測,虛假網站實時生成新的軟件包,並使用獨特的惡意apk文件進行下載,並將文件名設置為8個隨機數。
安裝後,攻擊者可以使用19個內置後門命令來控制受感染的Android設備,包括sendSms,setWifi,gcont,lock,onRecordAction,call,get_apps,ping等。
如果受害者擁有iOS設備,惡意軟件會將用戶重定向到一個模仿Apple網站的釣魚網站,並要求他們輸入他們的用戶ID,密碼,卡號,卡到期日期和CVV編號。
東方聯盟黑客安全研究人員發現,除了從Android和iOS設備竊取敏感信息之外,如果使用桌面瀏覽器訪問Monero,RoamingMantis會在CoinHive的每個登錄頁面上注入基於瀏覽器的加密貨幣挖掘腳本。
考慮到這些新功能和活動的快速增長,東方聯盟黑客安全研究人員認為“背後的這些人具有強大的財務動機,並且可能資金充足。”
為了保護您免受此類惡意軟件的侵害,建議您確保您的路由器運行最新版本的固件並使用強密碼保護。由於黑客活動使用攻擊者控制的DNS服務器欺騙合法域並將用戶重定向到惡意下載文件,因此建議您確保您訪問的網站啟用了HTTPS。您還應該禁用路由器的遠程管理功能,並將可信的DNS服務器硬編碼到操作系統網絡設置中。
總是建議Android設備用戶從官方商店安裝應用程序,並通過前往設置→安全性→未知來源禁用智能手機上來歷不明的來源安裝應用程序。
要檢查您的Wi-Fi路由器是否已被入侵,請查看您的DNS設置並檢查DNS服務器地址。如果它與您的提供商發佈的不符,請將其更改回正確的一個。還要立即更改所有帳戶密碼。
閱讀更多 IT八卦陣 的文章
