استفاده از Router DNS برای توزیع تروجان‏‌های بانکی اندرویدی و سرقت اطلاعات حساس کاربران

محققان از گسترش روزافزون کمپین‌‏های بدافزاری خبر داده‌‏اند که از روترهای اینترنتی برای توزیع بدافزارهای بانکی اندرویدی و سرقت اطلاعات حساس کاربران استفاده می‏‌کنند.

هکرها به منظور فریب دادن قربانیان برای نصب بدافزار اندرویدی، به نام Roaming Mantis، تنظیمات DNS را بر روی روترهای آسیب‌‏پذیر و دارای ضعف امنیتی به صورت غیرقانونی تغییر می‌‏دهند.

حمله‏‌ی تغییر DNS، برای مهاجم این امکان را فراهم می‌‏نماید که بتواند جلوی ترافیک را گرفته، صفحات وب تبلیغاتی را به آن تزریق نموده و کاربران را به صفحات فیشینگی که برای فریب دادن آن‏ها طراحی شده تا اطلاعات حساس خود را مانند اطلاعات ورود، جزئیات حساب بانکی و غیره به اشتراک بگذارند هدایت نماید.

تغییر تنظیمات DNS روترها برای اهداف مخرب خبر جدیدی نیست. پیش از این نیز در مورد DNSChanger و Switcher_ بدافزارهایی که با تغییر تنظیمات DNS روترهای وایرلس، ترافیک را به وب‏‌سایت‌‏های مخربی که تحت کنترل مهاجم هستند هدایت می‌‏کند_ گزارش شده بود.

طبق یافته‏‌ی محققان آزمایشگاه کسپرسکی، این کمپین بدافزاری جدید، در درجه اول کاربران کشورهای آسیایی از جمله کره جنوبی، چین، بنگلادش و ژاپن را از ماه فوریه سال جاری هدف قرار داده است.

روال کار حمله به این صورت است که پس از تغییر تنظیمات DNS توسط هکرها، قربانیان به وب‏‌سایت‏‌های جعلی هدایت می‏‌گردند و همانطور که در تصویر زیر آمده است، پیغام هشداری با محتوای "به منظور بهبود عملکرد مرورگر، آن را به آخرین نسخه کروم آپدیت نمایید" به کاربر نشان داده می‌‏شود.

پس از اینکه کاربر بر روی OK کلیک نمود، بدافزار Roaming Mantis در قالب برنامه مرورگر کروم برای اندروید شروع به دانلود شدن می‏‌کند، و مجوز دسترسی به اطلاعات حساب کاربری، ارسال SMS/MMS، برقراری تماس، ضبط صدا، کنترل حافظه خارجی، بررسی پکیج‏‌ها، کار با فایل‌سیستم و غیره را به دست می‌‏آورد.

تغییر مسیر DNS، منجر به نصب برنامه‏‌های تروجان تحت عنوان facebook.apk و chrome.apk با محتوای تروجان بانکی اندرویدی می‏‌گردد. پس از نصب، برنامه مخرب بلافاصله تمام پیغام‌‏های دیگر ویندوز را مانند " Account No.exists risks, use after certification" برای نمایش پیغام جعلی می‏‌پوشاند.  

در نهایت Roaming Mantis، یک وب‎سرور لوکال بر روی دستگاه راه‌‏اندازی نموده و مرورگر را برای نشان دادن یک نسخه جعلی از ‏سایت گوگل باز می‌‏کند و از کاربران می‏‌خواهد نام و تاریخ تولدشان را وارد نمایند.

همانطور که در اسکرین‏‌شات‌‏های زیر مشاهده می‏‌کنید، برای اینکه کاربر متقاعد شود که اطلاعات توسط خودِ گوگل دریافت می‌‏گردد، صفحه‌‏ی جعلی، آیکون آیدی Gmail کاربر را در دستگاه اندروید آلوده نشان می‏‌دهد.

محققان می‌‏گویند: "بعد از اینکه کاربر نام و تاریخ تولد خود را وارد نمود، مرورگر به یک صفحه خالی در آدرس http://127.‎0.‎0.‎1:${random_port‏}/submit هدایت می‏‌شود."

از آنجا که بدافزار Roaming Mantis اکنون مجوز دسترسی خواندن و نوشتن SMS در دستگاه را به دست آورده است، مهاجم را قادر می‌‏سازد که کد تأیید محرمانه را برای احراز هویت دو مرحله‌‏ای حساب کاربری قربانی سرقت نماید.

آنچه در مورد این بدافزار جالب است این است که از یک وب‏‌سایت رسانه اجتماعی معروف در چین (my.tv.sohu.com) به عنوان سرور command-and-control خود استفاده نموده و از طریق بروزرسانی پروفایل‏‌های کاربری تحت کنترل مهاجم دستورات را برای دستگاه‏‌های آلوده می‌‏فرستد.

توصیه‎های امنیتی

اطمینان حاصل کنید که روتر شما در حال اجرای آخرین نسخه firmwareاست و توسط یک پسورد قوی محافظت می‏‌گردد.
ویژگی مدیریت از راه دور روتر را غیرفعال نمایید.
یک DNSسرور قابل اعتماد را در تنظیمات شبکه سیستم‌عامل هاردکد (قرار دادن اطلاعات در یک برنامه نرم‎افزاری به گونه‌‏ای که کاربر نتواند به راحتی آن را تغییر دهد) کنید.

منبع: https://thehackernews.com/2018/04/android-dns-hijack-malware.html