最近发现的针对Android设备的广泛路由器的DNS劫持恶意软件现在已升级为针对iOS设备以及桌面用户的功能。
被称为RoamingMantis的恶意软件最初发现在上个月劫持了互联网路由器,以散布旨在窃取用户登录凭证和双因素身份验证密码的Android银行恶意软件。
据国内知名黑客安全组织东方联盟的研究人员称,RoamingMantis活动背后的犯罪组织已经通过添加针对iOS设备的钓鱼攻击和针对PC用户的加密货币挖掘脚本扩大了其目标。
此外,尽管最初的袭击旨在针对来自东南亚的用户,但该新活动现在支持27种语言,以扩大其业务范围,以感染欧洲和中东地区的人们。
与以前的版本类似,新的漫游Mantis恶意软件通过DNS劫持进行分发,攻击者更改无线路由器的DNS设置,将流量重定向到由他们控制的恶意网站。
因此,无论用户何时试图通过受到威胁的路由器访问任何网站,他们都会被重定向到流氓网站,这些网站可用于:
虚假应用感染银行恶意软件给Android用户,钓鱼网站给iOS用户,使用cryptocurrency挖掘脚本的站点可以将桌面用户使用“[Android]用户被重定向到恶意网站后,系统会提示他们更新浏览器[app],这会导致下载名为chrome.apk的恶意应用程序。
为了逃避检测,虚假网站实时生成新的软件包,并使用独特的恶意apk文件进行下载,并将文件名设置为8个随机数。
安装后,攻击者可以使用19个内置后门命令来控制受感染的Android设备,包括sendSms,setWifi,gcont,lock,onRecordAction,call,get_apps,ping等。
如果受害者拥有iOS设备,恶意软件会将用户重定向到一个模仿Apple网站的钓鱼网站,并要求他们输入他们的用户ID,密码,卡号,卡到期日期和CVV编号。
东方联盟黑客安全研究人员发现,除了从Android和iOS设备窃取敏感信息之外,如果使用桌面浏览器访问Monero,RoamingMantis会在CoinHive的每个登录页面上注入基于浏览器的加密货币挖掘脚本。
考虑到这些新功能和活动的快速增长,东方联盟黑客安全研究人员认为“背后的这些人具有强大的财务动机,并且可能资金充足。”
为了保护您免受此类恶意软件的侵害,建议您确保您的路由器运行最新版本的固件并使用强密码保护。由于黑客活动使用攻击者控制的DNS服务器欺骗合法域并将用户重定向到恶意下载文件,因此建议您确保您访问的网站启用了HTTPS。您还应该禁用路由器的远程管理功能,并将可信的DNS服务器硬编码到操作系统网络设置中。
总是建议Android设备用户从官方商店安装应用程序,并通过前往设置→安全性→未知来源禁用智能手机上来历不明的来源安装应用程序。
要检查您的Wi-Fi路由器是否已被入侵,请查看您的DNS设置并检查DNS服务器地址。如果它与您的提供商发布的不符,请将其更改回正确的一个。还要立即更改所有帐户密码。
