استفاده از Router DNS برای توزیع تروجانهای بانکی اندرویدی و سرقت اطلاعات حساس کاربران
محققان از گسترش روزافزون کمپینهای بدافزاری خبر دادهاند که از روترهای اینترنتی برای توزیع بدافزارهای بانکی اندرویدی و سرقت اطلاعات حساس کاربران استفاده میکنند.
هکرها به منظور فریب دادن قربانیان برای نصب بدافزار اندرویدی، به نام Roaming Mantis، تنظیمات DNS را بر روی روترهای آسیبپذیر و دارای ضعف امنیتی به صورت غیرقانونی تغییر میدهند.
حملهی تغییر DNS، برای مهاجم این امکان را فراهم مینماید که بتواند جلوی ترافیک را گرفته، صفحات وب تبلیغاتی را به آن تزریق نموده و کاربران را به صفحات فیشینگی که برای فریب دادن آنها طراحی شده تا اطلاعات حساس خود را مانند اطلاعات ورود، جزئیات حساب بانکی و غیره به اشتراک بگذارند هدایت نماید.
تغییر تنظیمات DNS روترها برای اهداف مخرب خبر جدیدی نیست. پیش از این نیز در مورد DNSChanger و Switcher_ بدافزارهایی که با تغییر تنظیمات DNS روترهای وایرلس، ترافیک را به وبسایتهای مخربی که تحت کنترل مهاجم هستند هدایت میکند_ گزارش شده بود.
طبق یافتهی محققان آزمایشگاه کسپرسکی، این کمپین بدافزاری جدید، در درجه اول کاربران کشورهای آسیایی از جمله کره جنوبی، چین، بنگلادش و ژاپن را از ماه فوریه سال جاری هدف قرار داده است.
روال کار حمله به این صورت است که پس از تغییر تنظیمات DNS توسط هکرها، قربانیان به وبسایتهای جعلی هدایت میگردند و همانطور که در تصویر زیر آمده است، پیغام هشداری با محتوای "به منظور بهبود عملکرد مرورگر، آن را به آخرین نسخه کروم آپدیت نمایید" به کاربر نشان داده میشود.
پس از اینکه کاربر بر روی OK کلیک نمود، بدافزار Roaming Mantis در قالب برنامه مرورگر کروم برای اندروید شروع به دانلود شدن میکند، و مجوز دسترسی به اطلاعات حساب کاربری، ارسال SMS/MMS، برقراری تماس، ضبط صدا، کنترل حافظه خارجی، بررسی پکیجها، کار با فایلسیستم و غیره را به دست میآورد.
تغییر مسیر DNS، منجر به نصب برنامههای تروجان تحت عنوان facebook.apk و chrome.apk با محتوای تروجان بانکی اندرویدی میگردد. پس از نصب، برنامه مخرب بلافاصله تمام پیغامهای دیگر ویندوز را مانند " Account No.exists risks, use after certification" برای نمایش پیغام جعلی میپوشاند.
در نهایت Roaming Mantis، یک وبسرور لوکال بر روی دستگاه راهاندازی نموده و مرورگر را برای نشان دادن یک نسخه جعلی از سایت گوگل باز میکند و از کاربران میخواهد نام و تاریخ تولدشان را وارد نمایند.
همانطور که در اسکرینشاتهای زیر مشاهده میکنید، برای اینکه کاربر متقاعد شود که اطلاعات توسط خودِ گوگل دریافت میگردد، صفحهی جعلی، آیکون آیدی Gmail کاربر را در دستگاه اندروید آلوده نشان میدهد.
محققان میگویند: "بعد از اینکه کاربر نام و تاریخ تولد خود را وارد نمود، مرورگر به یک صفحه خالی در آدرس http://127.0.0.1:${random_port}/submit هدایت میشود."
از آنجا که بدافزار Roaming Mantis اکنون مجوز دسترسی خواندن و نوشتن SMS در دستگاه را به دست آورده است، مهاجم را قادر میسازد که کد تأیید محرمانه را برای احراز هویت دو مرحلهای حساب کاربری قربانی سرقت نماید.
آنچه در مورد این بدافزار جالب است این است که از یک وبسایت رسانه اجتماعی معروف در چین (my.tv.sohu.com) به عنوان سرور command-and-control خود استفاده نموده و از طریق بروزرسانی پروفایلهای کاربری تحت کنترل مهاجم دستورات را برای دستگاههای آلوده میفرستد.
توصیههای امنیتی
اطمینان حاصل کنید که روتر شما در حال اجرای آخرین نسخه firmwareاست و توسط یک پسورد قوی محافظت میگردد.
ویژگی مدیریت از راه دور روتر را غیرفعال نمایید.
یک DNSسرور قابل اعتماد را در تنظیمات شبکه سیستمعامل هاردکد (قرار دادن اطلاعات در یک برنامه نرمافزاری به گونهای که کاربر نتواند به راحتی آن را تغییر دهد) کنید.
منبع: https://thehackernews.com/2018/04/android-dns-hijack-malware.html