» data-html=»true» data-original-title=»DNS Hijacking»>DNS Hijacking) как минимум с 2018 года, но в последней кампании вредоносное ПО нацелено на определенные маршрутизаторы, используемые в основном в Южной Корее. Кроме того, хакеры могут изменить модели роутеров в любое время, включив маршрутизаторы, которые используются в других странах.
Такой подход позволяет злоумышленникам проводить более целенаправленные атаки и компрометировать только определенных пользователей и регионы, избегая обнаружения во всех остальных случаях.
В последних кампаниях Roaming Mantis используется Смишинг (smishing = SMS + phishing) — это тип фишинговой атаки, при которой мошенник через СМС-сообщение убеждает жертву открыть вредоносное вложение или перейти по вредоносной ссылке, чтобы украсть конфиденциальные данные. Иногда смишингу могут способствовать вредоносные программы или фишинговые веб-сайты.
СМС-сообщения обычно приходят от лица законной организации — банка пользователя, поставщика услуг, оператора сотовой связи или даже государственной службы.
» data-html=»true» data-original-title=»Смишинг»>смишинг для направления целей на вредоносный веб-сайт.
После того, как вредоносное ПО установлено на Android-устройстве жертвы, «Wroba.o/XLoader» получает IP-адрес шлюза по умолчанию от подключенного WiFi-роутера. Затем вредонос пытается получить доступ к веб-интерфейсу администратора, используя пароль по умолчанию, чтобы определить модель устройства. Затем программа выполняет перехват DNS, изменяя настройки маршрутизатора с помощью разных методов в зависимости от обнаруженной модели.
Когда настройки DNS изменены, а устройства подключаются к Wi-Fi, они перенаправляются на вредоносную страницу, где жертве будет предложено установить вредоносное ПО. Это создает непрерывный поток зараженных устройств для дальнейшего взлома чистых роутеров в общедоступных сетях, которые обслуживают большое количество людей в стране.
Телеметрия «Лаборатории Касперского» показывает, что 10% всех жертв XLoader находятся в США. Чтобы защититься от кампании Roaming Mantis, нельзя переходить по ссылкам, полученным через SMS, а также не устанавливать APK-файлы не в Google Play.