05.22 太可怕了!黑客是如何攻擊劫持安卓用戶的DNS?

最近發現的針對Android設備的廣泛路由器的DNS劫持惡意軟件現在已升級為針對iOS設備以及桌面用戶的功能。

被稱為RoamingMantis的惡意軟件最初發現在上個月劫持了互聯網路由器,以散佈旨在竊取用戶登錄憑證和雙因素身份驗證密碼的Android銀行惡意軟件。

太可怕了!黑客是如何攻擊劫持安卓用戶的DNS?

據國內知名黑客安全組織東方聯盟的研究人員稱,RoamingMantis活動背後的犯罪組織已經通過添加針對iOS設備的釣魚攻擊和針對PC用戶的加密貨幣挖掘腳本擴大了其目標。

此外,儘管最初的襲擊旨在針對來自東南亞的用戶,但該新活動現在支持27種語言,以擴大其業務範圍,以感染歐洲和中東地區的人們。

與以前的版本類似,新的漫遊Mantis惡意軟件通過DNS劫持進行分發,攻擊者更改無線路由器的DNS設置,將流量重定向到由他們控制的惡意網站。

太可怕了!黑客是如何攻擊劫持安卓用戶的DNS?

因此,無論用戶何時試圖通過受到威脅的路由器訪問任何網站,他們都會被重定向到流氓網站,這些網站可用於:

虛假應用感染銀行惡意軟件給Android用戶,釣魚網站給iOS用戶,使用cryptocurrency挖掘腳本的站點可以將桌面用戶使用“[Android]用戶被重定向到惡意網站後,系統會提示他們更新瀏覽器[app],這會導致下載名為chrome.apk的惡意應用程序。

為了逃避檢測,虛假網站實時生成新的軟件包,並使用獨特的惡意apk文件進行下載,並將文件名設置為8個隨機數。

安裝後,攻擊者可以使用19個內置後門命令來控制受感染的Android設備,包括sendSms,setWifi,gcont,lock,onRecordAction,call,get_apps,ping等。

如果受害者擁有iOS設備,惡意軟件會將用戶重定向到一個模仿Apple網站的釣魚網站,並要求他們輸入他們的用戶ID,密碼,卡號,卡到期日期和CVV編號。

太可怕了!黑客是如何攻擊劫持安卓用戶的DNS?

東方聯盟黑客安全研究人員發現,除了從Android和iOS設備竊取敏感信息之外,如果使用桌面瀏覽器訪問Monero,RoamingMantis會在CoinHive的每個登錄頁面上注入基於瀏覽器的加密貨幣挖掘腳本。

考慮到這些新功能和活動的快速增長,東方聯盟黑客安全研究人員認為“背後的這些人具有強大的財務動機,並且可能資金充足。”

為了保護您免受此類惡意軟件的侵害,建議您確保您的路由器運行最新版本的固件並使用強密碼保護。由於黑客活動使用攻擊者控制的DNS服務器欺騙合法域並將用戶重定向到惡意下載文件,因此建議您確保您訪問的網站啟用了HTTPS。您還應該禁用路由器的遠程管理功能,並將可信的DNS服務器硬編碼到操作系統網絡設置中。

總是建議Android設備用戶從官方商店安裝應用程序,並通過前往設置→安全性→未知來源禁用智能手機上來歷不明的來源安裝應用程序。

要檢查您的Wi-Fi路由器是否已被入侵,請查看您的DNS設置並檢查DNS服務器地址。如果它與您的提供商發佈的不符,請將其更改回正確的一個。還要立即更改所有帳戶密碼。


分享到:


相關文章: