آلودهشدن هزاران کاربر اندروید در پی حملات Roaming Mantis
کارشناسان امنیتی کسپرسکی اعلام کردند هزاران کاربر در ماه گذشته مورد هدف حملات بدافزاری Roaming Mantis قرار گرفتند تا اطلاعات آنان جمع آوری شود.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، به نقل از پایگاه اینترنتی SecurityAffairs، آخرین موج حملات بدافزار Roaming Mantis بر گسترش لینکهای فیشینگ از طریق پیامک تمرکز دارد که قربانیان این حملات در کشورهای روسیه، ژاپن، هند، بنگلادش، قزاقستان، آذربایجان، ایران و ویتنام قرار دارند.
کاربران اندروید توسط بدافزارهایی آلوده شدند که Trend Micro آن را با نام XLoader و McAfee با نام MoqHao شناسایی میکنند. همراه با تکنیک دستکاری DNS که در گذشته انجام شده بود، مهاجمین با استفاده از روش فیشینگ جدیدی، از صفحات فرود جدیدی برای هدف قرار دادن دستگاههای iOS استفاده کردند که باعث نصب پیکربندی مخرب در iOS میشود.
این پیکربندی باعث باز شدن سایت فیشینگ در مرورگر دستگاههای هدف میشود تا اطلاعات قربانیان جمعآوری شوند. بدافزار Roaming Mantis برای اولین بار در مارس ۲۰۱۸ مشاهده شد که به مسیریابهای ژاپنی نفوذ کرد و باعث انتقال کاربران به سایتهای مخرب شد.
بدافزارهای مرتبط با Roaming Mantis بیش از ۶۸۰۰ بار توسط پژوهشگران مشاهده شدند که این تعداد برای ۹۵۰ کاربر منحصر به فرد و در بازه ۲۵ فوریه تا ۲۰ مارچ ۲۰۱۹ (۶ تا ۲۹ اسفند ۹۷) است.
در اواخر ماه فوریه ۲۰۱۹، کارشناسان یک URL را شناسایی کردند که مهاجمین از آن برای تغییر DNS مسیریاب استفاده کردند. این حمله تحت شرایطی موفق عمل میکند که هیچ احرازهویتی برای کنترل پنل مسیریاب وجود نداشته باشد، دستگاه یک نشست ادمین برای پنل مسیریاب داشته باشد و نامکاربری و گذرواژه پیشفرض برای مسیریاب تعیین شده باشد (برای مثال admin:admin)
کارشناسان کسپرسکی هزاران مسیریاب را کشف کردند که از این طریق DNS آنها به آدرسهای مخرب تغییر یافته است. این نوع حمله توسط فایل sagawa.apk نیز انجام شده است.
کارشناسان معاونت بررسی مرکز افتا تاکید میکنند برای جلوگیری از نفوذ و آلودگی حملات بدافزار Roaming Mantis ، شناسه و گذرواژههای پیشفرض تغییر یابد و وصلههای امنیتی منتشر شده، اعمال شود
این کارشناسان همچنین به کاربران اندروید توصیه میکنند به هیچ وجه فایلهای APK را از منابع نامعتبر دانلود نکنند و کاربران iOS نیز از نصب پیکربندی ثالث نامعتبر خودداری کنند.