Маршрутизаторы Wi-Fi поражены новой опасной вредоносной программой для Android с дополнительными взломами DNS

Маршрутизаторы Wi-Fi поражены новой опасной вредоносной программой для Android с дополнительными взломами DNS

22 января 2023 г.

Обнаружено новое приложение для Android, которое обманом заставляет ничего не подозревающих пользователей (даже тех, у кого чистые устройства) посещать вредоносные версии популярных веб-сайтов, где они могут в конечном итоге выдать свои учетные данные для входа или, что еще хуже, деньги.

Выводы предоставлены «Лабораторией Касперского», которая обнаружила вредоносное приложение для Android, несущее Wroba.o/Agent.eq (он же Moqhao, XLoader) вредоносное ПО распространялось.

При загрузке приложение попытается подключиться к Wi-Fi маршрутуr, к которому подключено мобильное устройство. Для этого он попробует самые обычные комбинации имени пользователя и пароля, а также те, которые, как известно, поставляются с заводскими настройками (например, admin/admin). В случае успеха он изменит DNS-сервер на вредоносный, который находится под контролем злоумышленника.< /p>

Бродячий богомол

Это позволяет операторам вредоносных программ перенаправлять всех пользователей, подключенных к этой конкретной сети Wi-Fi, в том числе тех, у кого нет вредоносных программ, на вредоносные версии популярных веб-сайтов.

Например, если скомпрометированная конечная точка подключается к общедоступной сети Wi-Fi в оживленном кафе и в конечном итоге меняет настройки DNS-сервера в маршрутизаторе, все остальные в этом кафе, пытающиеся подключиться к Facebook, на самом деле быть перенаправлены на поддельную страницу Facebook. Там их попросят предоставить свои данные для входа, и если они это сделают, они в конечном итоге отдадут свои учетные данные мошенникам.

Исследователи не назвали распространяемые приложения, но сообщили, что APK-файлы были загружены не менее 46 000 раз в Японии, Австрии, Франции, Германии, Южной Корее, Турции, Малайзии и Индии. Япония, с более чем 24 000 загрузок, безусловно, является наиболее пострадавшей страной.

Группа, стоящая за приложениями, предположительно, — Roaming Mantis. Чтобы защититься от этого типа атак, лучше всего избегать подключения к важным учетным записям в общедоступных сетях Wi-Fi.

Через: АрсТехника


Оригинал