کمیته رکن چهارم – بدافزار «Roaming Mantis» قربانی می گیرد و میلیون ها کاربر اندروید و آی او اس را تحت تأثیر قرار داده است
بدافزار «Roaming Mantis» با هدف قرار دادن روترهای خدمات دهنده به تلفن های همراه آنها را به سمت سایت های فیشینگ ترغیب می کنند.
این بدافزار دو ماه پیش هم شناسایی شده است و در آن زمان هم از طریق روتر های وای فای وارد دستگاه های تلفن همراه می شد و هنوزه هم قربانی می گیرد.
این بدافزار با سوء استفاده از تلفن های همراه به دنبال استخراج بیت کوین از طریق منابع سخت افزاری آنها است.
این بدافزار کار خود را با ربودن و حمله به روترهای اینترنتی در ماه گذشته شروع کرد و این کار را برای توزیع و گسترش بدافزار بانکی اندرویدی انجام می داد و طوری طراحی شده بود تا رمز عبور کارت های اعتباری کاربران و همچنین کد احراز هویت دو مرحله ای قربانیان را سرقت نمایند.
بدافزار یاد شده که اخیرا دستگاه های اندرویدی را هدف قرار داده است، اکنون توانایی های خود را برای هدف قرار دادن دستگاه های «iOS» و کاربران ویندوزی افزایش داده است.
به گفته محققان امنیتی آزمایشگاه های کسپرسکی (Kaspersky Lab)، گروه هکری بدافزار Roaming Mantis اهداف خود را با افزودن حملات فیشینگ برای دستگاه های iOS و اسکریپت معادله رمزنگاری برای کاربران کامپیوتر گسترش داده است.
عملکرد بدافزار جدید «Roaming Mantis»، همانند نسخه قبلی از طریق سرقت DNS های توزیع شده است یعنی مهاجمان تنظیمات DNS روترهای بی سیم را تغییر می دهند تا ترافیک را به وب سایت های مخرب تحت کنترل خود هدایت کنند.
هر زمان که کاربران از طریق یک روتر آسیب پذیر به وب سایت های تحت کنترل مهاجمان هدایت می شوند، سناریوهای زیر رخ می دهد.
• کاربران اندروید به بدافزار بانکی آلوده شوند.
• کاربران «iOS» به دام سایت های «phishing» بیفتند.
• کاربران کامپیوترها هم گرفتار سایت های استخراج ارز دیجیتال شوند.
پس از آنکه کاربر اندروید به سایت مخرب هدایت شد از او خواسته می شود که مرورگر خود را به روز رسانی کند. این به روز رسانی باعث می شود که یک برنامه مخرب به نام chrome.apk دانلود شود.
برای جلوگیری از تشخیص، وب سایت های جعلی بسته های جدید را با فایل های apk مخرب برای دانلود تولید می کنند و همچنین نام فایل را با هشت عدد تصادفی تنظیم می کنند.
پس از نصب بدافزار، مهاجمان می توانند با استفاده از ۱۹ دستور «backdoor» داخلی از جمله «sendSms، setWifi، gcont، lock، onRecordAction، call، get_apps، ping و … » دستگاه های آلوده اندروید را کنترل کنند.
حال اگر قربانیان یک دستگاه iOS داشته باشند، بدافزار، کاربر را به یک وب سایت فیشینگ هدایت می کند که وب سایت اپل را تقلید کرده و ادعا می کند که «security.app.com» است و از کاربر می خواهد تا شناسه کاربر، رمز عبور، شماره کارت، تاریخ انقضای کارت خود و شماره CVV را وارد کند.
برای بررسی اینکه آیا روتر شما در حال حاضر به خطر افتاده است یا خیر باید تنظیمات «DNS» روتر خود را بررسی کنید و آدرس سرور «DNS» را بررسی کنید. اگر تنظیمات آن مطابق با «provider» خود نبود تنظیمات آن را اصلاح کنید. همچنین تمام رمز عبورهای حساب کاربری خود را بلافاصله تغییر دهید.
منبع : سایبربان
