مجموعة هاكر وهو ما وراء توزيعها البرمجيات الخبيثة لفرع التجوال ، تحديث إصدار Android من البرامج الضارة ليشمل ملف محول DNS
طريقته مغير DNS يعدل إعدادات DNS على أجهزة توجيه WiFi المعرضة للخطر لنشر العدوى إلى الأجهزة الأخرى.
بواسطة سبتمبر 2022، لاحظ باحثو الأمن أن مجموعة المخترقين وراء البرامج الضارة لـ "فرس النبي المتجول"، شرعوا في توزيع نسخة جديدة من البرامج الضارة Wroba.o / XLoader على Android، والتي تكتشف أجهزة توجيه WiFi ضعيفة بناءً على نموذجها ، وتغير DNS الخاص بها.
ثم يقوم البرنامج الضار بإنشاء طلب HTTP للتلاعب بإعدادات DNS الخاصة بجهاز توجيه WiFi ضعيف ، مما يتسبب في إعادة توجيه الأجهزة المتصلة إلى مواقع الويب الضارة التي تستضيف نماذج التصيد الاحتيالي أو تسقط برامج Android الضارة.
البديل الجديد من البرمجيات الخبيثة Wroba.o / XLoader لنظام Android اكتشفوا من قبلهم باحثو كاسبيرسكي, ال الذين كانوا يراقبون نشاط بث Mantis لسنوات. يوضح Kaspersky أن ملف فرس النبي المتجول يستخدم طريقته اختطاف DNS على الأقل منذ 2018, لكن العنصر الجديد في إصداره الأخير هو أن البرامج الضارة تستهدف أجهزة توجيه معينة.
تستهدف الحملة الأخيرة التي تستخدم هذا البرنامج الضار المحدث نماذج محددة من أجهزة توجيه WiFi المستخدمة بشكل أساسي في كوريا الجنوبية. ومع ذلك ، يمكن للقراصنة تغييره في أي وقت ليشمل أجهزة التوجيه الأخرى المستخدمة بشكل شائع في البلدان الأخرى.
يسمح هذا النهج لهم بتنفيذ المزيد من الهجمات المستهدفة وإيذاء مستخدمين ومناطق محددة فقط ، وتجنب الاكتشاف في جميع الحالات الأخرى.
استهدفت هجمات فرس النبي التجوال السابقة مستخدمين من اليابان والنمسا وفرنسا وألمانيا وتركيا وماليزيا والهند.
محلل DNS جديد لجهاز التوجيه
أحدث إصداراته فرس النبي المتجول استخدام نصوص التصيد عبر الرسائل القصيرة (smishing) لتوجيه الأهداف إلى موقع ويب ضار.
إذا كان جهاز المستخدم هو Android ، فسيطلب من المستخدم تثبيت واحد APK ضار، والتي يتم تحميلها بامتداد البرامج الضارة Wroba.o / XLoader، بينما يتعارض مع المستخدمين أبل iOS، ستعيد الصفحة المقصودة توجيه المستخدمين إلى صفحة تصيد تحاول سرقة بيانات الاعتماد.
بمجرد تثبيت البرنامج الضار XLoader على جهاز Android الخاص بالضحية ، فإنه يحصل على عنوان IP الافتراضي للبوابة من جهاز توجيه WiFi المتصل ، ثم يحاول الوصول إلى قائمة المسؤول الخاصة بالموجه باستخدام كلمة مرور افتراضية لاكتشاف طراز الجهاز.
XLoader Check WiFi Router Model (كاسبيرسكي)
XLoader الآن ميزات 113 سلاسل مضمنة باستخدام الكود المستخدم للتحقيق في نماذج معينة من أجهزة توجيه WiFi - وإذا تم العثور على تطابق ، تستمر البرامج الضارة في اختراق DNS عن طريق تغيير إعدادات جهاز التوجيه.
تقوم البرامج الضارة بتغيير DNS على جهاز التوجيه (كاسبيرسكي)
Η Kaspersky تنص على أن مغير DNS يستخدم بيانات الاعتماد الافتراضية (مشرف / مشرف) للوصول إلى جهاز التوجيه ، ثم قم بإجراء تغييرات على إعدادات DNS باستخدام طرق مختلفة اعتمادًا على الطراز المكتشف.
يوضح المحللون أيضًا أن خادم DNS المستخدم من قبل فرس النبي المتجول ، يغير فقط أسماء نطاقات معينة إلى صفحات مقصودة معينة عند الوصول إليها من هاتف ذكي.
انتشار العدوى
مع تغيير إعدادات DNS على جهاز التوجيه الآن ، عندما تتصل أجهزة Android الأخرى بشبكة WiFi ، سيتم إعادة توجيهها تلقائيًا إلى الصفحة المقصودة الضارة ويطلب منك تثبيت البرامج الضارة.
تخلق هذه الحقيقة تدفقًا مستمرًا للأجهزة المصابة لمزيد من اختراق أجهزة توجيه WiFi النظيفة الأخرى في الشبكات العامة ، والتي تخدم عددًا كبيرًا من الأشخاص في الدولة.
Η Kaspersky يحذر من أن هذه الميزة تمنح فريق Roaming Mantis القدرة على التوسع بشكل خطير ، مما يسمح للبرامج الضارة بالانتشار دون رادع.
على الرغم من عدم وجود صفحات مقصودة موجودة على الولايات المتحدة الأمريكية و Roaming Mantis لا يبدو أنهما يستهدفان بنشاط نماذج أجهزة التوجيه المستخدمة في الدولة ، وإحصاءاتها Kaspersky تبين أن ال 10٪ من جميع ضحايا XLoader موجودون في الولايات المتحدة.
يمكن للمستخدمين حماية أنفسهم من هجماتها فرس النبي المتجول تجنب النقر على الروابط الواردة عبر الرسائل القصيرة، ومع ذلك ، هو أكثر أهمية تجنب تثبيت APK خارج متجر Google Play.
لا تنسى متابعته Xiaomi-miui.gr في أخبار جوجل ليتم إطلاعك على الفور على جميع مقالاتنا الجديدة! يمكنك أيضًا إذا كنت تستخدم قارئ RSS ، فأضف صفحتنا إلى قائمتك ، ببساطة عن طريق اتباع هذا الرابط >> https://news.xiaomi-miui.gr/feed/gn
اتبعنا تیلیجرام حتى تكون أول من يتعلم كل أخبارنا!
