Kaspersky の研究者は、Roaming Mantis の操作で使用される新しい DNS スイッチャー機能を報告しました。 Roaming Mantis (Shaoye とも呼ばれます) は、2018 年に Kaspersky が最初に確認したサイバー犯罪キャンペーンまたは操作の名前です。 悪意のある Android パッケージ (APK) ファイルを使用して、感染した Android デバイスを管理し、デバイスから機密情報を盗みます。 また、iOS デバイス向けのフィッシング オプションや、PC 向けの暗号マイニング機能があることも知られています。 このキャンペーンの名前は、Wi-Fi ネットワークをローミングしているスマートフォンを介して拡散し、感染を運び、拡散する可能性があることに由来しています。
「パブリック ルーターと新しい DNS チェンジャー機能」
Kaspersky は最近、Roaming Mantis がキャンペーン マルウェア Wroba.o (別名 Agent.eq、Moqhao、XLoader) を介して新しい DNS チェンジャー機能を提供していることを発見しました。 DNSチェンジャーは、侵害されたWi-Fiルーターに接続されたデバイスを、正当なDNSサーバーではなく、サイバー犯罪者が制御する別のサーバーにリダイレクトする悪意のあるプログラムと呼ぶことができます. このシナリオでは、潜在的な被害者は、遭遇したランディング ページから、デバイスを制御したり資格情報を盗んだりできるマルウェアをダウンロードするよう求められます。
現在、Roaming Mantis の背後にいる攻撃者は、韓国にあり、非常に人気のある韓国のネットワーク機器ベンダーによって製造されたルーターのみを標的にしています。 2022 年 508 月、Kaspersky は国内で XNUMX 件の悪意のある APK のダウンロードを観測しました。
悪意のあるページの調査により、攻撃者は DNS チェンジャーの代わりにスミッシングを使用して他の地域も標的にしていることが明らかになりました。 この手法では、テキスト メッセージを使用して、被害者をフィッシング サイトに誘導するリンクを拡散し、マルウェアをデバイスにダウンロードしたり、ユーザー情報を盗んだりします。
2022 年 54,4 月から 12,1 月までの Kaspersky Security Network (KSN) の統計によると、フランス (10,1%)、日本 (XNUMX%)、米国 ( XNUMX%)。
「感染したスマートフォンが、カフェ、バー、図書館、ホテル、ショッピング モール、空港、さらには家庭など、さまざまな公共の場所で「正常な」ルーターに接続すると、Wroba.o マルウェアがこのルーターに送信されます。 Kaspersky のシニア セキュリティ リサーチャー. デバイスに接続されており、それに接続されているデバイスに影響を与える可能性があります。 新しい DNS チェンジャー機能は、侵害された Wi-Fi ルーターを使用して、悪意のあるホストへの転送やセキュリティ アップデートの無効化など、ほぼすべてのデバイスの選択を管理できます。 「この発見は、対象地域で広く拡散する可能性があるため、Android デバイスのサイバーセキュリティにとって重要であると考えています。」
この感染からインターネット接続を保護するために、カスペルスキーの研究者は次のことを推奨しています。
- ルーターのマニュアルを調べて、DNS 設定が改ざんされていないことを確認するか、インターネット サービス プロバイダーにサポートを依頼してください。
- ルーターの Web インターフェイスに使用されるデフォルトのユーザー名とパスワードを変更し、公式ソースから定期的にファームウェアを更新します。
- サードパーティのソースからルーター ソフトウェアをインストールしないでください。 Android デバイスにもサードパーティのストアを使用しないでください。
- また、ブラウザーと Web サイトのアドレスを常にチェックして、それらが安全であることを確認してください。 データの入力を求められたら、必ず https:// セキュア接続を確認してください。
最初にコメントする