Roaming Mantis Malware attacker Android-användare via hackade routrar

Computer Security News

Kaspersky security forskare funnit en ny Android malware, kallas Roaming Mantis, distribueras via ett enkelt trick som baserat på DNS-kapning.

Utvecklarna av Roaming Mantis malware fungera som någon som har bytt ut din telefonbok med en de skapat, där alla viktiga telefonnummer har ändrats till kalla bad skådespelarnas vänner istället för den bank som du försökte ringa.

Sedan, vem svarade i telefonen som lyckades övertyga dig om de faktiskt är den banken som du trodde att du ringa. Du besvara dina säkerhetsfrågor via telefon och när du hänga upp, den dåliga skådespelaren sedan ringer din bank och framgångsrikt maskerader som du eftersom de nu har svaren på dina säkerhetsfrågor.

Detta är alla en felaktig analogi eftersom ingen använder telefonböcker längre, men om du ersätter ”telefonböcker” med ”DNS”, det är inte en analogi längre. Det är en riktig cyberattack som för närvarande riktar mobiltelefonanvändare i Asien som försöker stjäla deras bankuppgifter.

Förra månaden släpptes rapporterna om hackade routrar i Japan omdirigera användare till äventyras webbplatser. Enligt undersökningen av Kaspersky Lab riktar cyber attacken användare i Asien med falska webbplatser anpassade för engelska, koreanska, japanska och förenklad kinesiska. Statistiken för infektionen visar att för närvarande de mest påverkade användarna ligger i Bangladesh, Japan och Sydkorea.

Cyber attacken börjar när en användare försöker komma åt en legitim webbplats via en komprometterad router. Istället för att nå den avsedda webbplatsen, användaren omdirigeras till en övertygande kopia av webbplatsen och kommer att presenteras med en popup-dialogruta som säger ”bättre upplever att bläddra, uppdatera till den senaste versionen av Chrome”.

När användaren klickar på knappen OK, en fil som heter chrome.apk är hämtade, men i stället för som innehåller en uppdaterad Chrome webbläsare, filen innehåller de Roaming Mantis malware.

Under installationen av Roaming Mantis, blir användaren ombedd att auktorisera ett antal behörigheter inklusive förmågan att visas ovanpå andra program, tillgång till kontaktlistan, ringer samtal, samla kontoinformation, sending/ ta emot SMS och inspelning av ljud. När dessa behörigheter har bekräftats av användaren, börjar nästa steg i kompromissen.

Roaming Mantis malware med dess förmåga ska visas ovanpå andra program, och visar ett varningsmeddelande som säger, ”Kontonr Det finns risker, Använd efter certifiering ”.

När användaren trycker på Enter-knappen, visas en falsk version av en Google-webbplats på en tillfällig webbserver på telefonen. De falska sidorna Visa användarens Gmail ID och be för användarens namn och födelsedatum. Detta kommer att ge angriparna användarnas Google IDs, fullständiga namn och födelsedatum som är nog att börja kompromissa bankinformation.

De flesta banker kräver en andra faktor autentisering (2FA) innan en användare får göra ändringar, men den Roaming Mantis malware är behörig att avlyssna SMS-meddelanden som bör undergräva många 2FA processer.

Enligt experterna för att skydda sina data bör användare säkra routern först. Dessutom uppdaterade firmware, starka lösenord för admin tillgång och inaktivera fjärråtkomst till administration gränssnitt på routern gör det svårt att kompromissa.

Den senaste attack mål DNS-tjänster körs på routrar. En DNS-tjänst som körs på en server i ditt nätverk är inte i fara att denna attack (men är inte immuna mot alla attacker.) Således endast installera program från betrodda appbutiker och uppmärksamma de behörigheter som infordras.


Leave a Reply

Your email address will not be published. Required fields are marked *