Кампания Roaming Mantis обновила свое вредоносное ПО для Android, включив в него функцию изменения настроек
DNS (Domain Name System – система доменных имен) – компьютерная распределенная система, с помощью которой можно получать данные о доменах. DNS используется для получения IP-адреса по имени компьютера или устройства, получения информации о маршрутизации почты, а также обслуживающих узлах для протоколов в домене (SRV-запись).
» data-html=»true» data-original-title=»DNS»>DNS на уязвимых WiFi-роутерах для распространения вредоносного ПО на другие устройства.
Обновленный вариант «Wroba.o/XLoader» был обнаружен исследователями «Лаборатории Касперского », которые ранее уже отслеживали активность Roaming Mantis. По словам аналитиков ЛК, Roaming Mantis использует перехват DNS (DNS Hijacking (Перехват DNS) — атака, при которой злоумышленник при помощи вредоносного ПО изменяет IP-адрес ресурса и перенаправляет жертву вместо запрошенного ею сайта на скомпрометированный сервер, который контролирует преступник.
Интернет-провайдеры осуществляют перехват DNS для сбора статистики и показа рекламы. Кроме того, поставщики DNS-услуг могут использовать перехват трафика в качестве цензуры для предотвращения доступа к определенным страницам.
» data-html=»true» data-original-title=»DNS Hijacking»>DNS Hijacking) как минимум с 2018 года, но в последней кампании вредоносное ПО нацелено на определенные маршрутизаторы, используемые в основном в Южной Корее. Кроме того, хакеры могут изменить модели роутеров в любое время, включив маршрутизаторы, которые используются в других странах.
Такой подход позволяет злоумышленникам проводить более целенаправленные атаки и компрометировать только определенных пользователей и регионы, избегая обнаружения во всех остальных случаях.
В последних кампаниях Roaming Mantis используется Смишинг (smishing = SMS + phishing) — это тип фишинговой атаки, при которой мошенник через СМС-сообщение убеждает жертву открыть вредоносное вложение или перейти по вредоносной ссылке, чтобы украсть конфиденциальные данные. Иногда смишингу могут способствовать вредоносные программы или фишинговые веб-сайты.
СМС-сообщения обычно приходят от лица законной организации — банка пользователя, поставщика услуг, оператора сотовой связи или даже государственной службы.