Tin tặc phát tán Android banking trojan qua bộ định tuyến DNS

DNS

Các nhà nghiên cứu bảo mật đã cảnh báo về một chiến dịch phần mềm độc hại đang chiếm đoạt các bộ định tuyến Internet để phân phối phần mềm độc hại ngân hàng Android đánh cắp thông tin nhạy cảm của người dùng, thông tin đăng nhập và mã bí mật để xác thực hai yếu tố.

Để lừa nạn nhân cài đặt phần mềm độc hại Android, được gọi là Roaming Mantis , tin tặc đã xâm nhập các thiết lập DNS trên các bộ định tuyến bảo mật và kém an toàn .

Tấn công cướp DNS cho phép tin tặc chặn lưu lượng truy cập, đưa quảng cáo lừa đảo lên trang web và chuyển hướng người dùng đến các trang lừa đảo được thiết kế để lừa họ chia sẻ thông tin nhạy cảm của họ như thông tin xác thực đăng nhập, chi tiết tài khoản ngân hàng và hơn thế nữa.

Để có thể kiểm tra tính an toàn của phần mềm độc hại hãy đọc bài viết: 5 công cụ kiểm thử phần mềm của SecurityBox bạn nhé

Tấn công DNS trên các bộ định tuyến một mục đích độc hại không phải là mới. Trước đây cũng đã có báo cáo về DNSChanger và Switcher phổ biến — bên phần mềm độc hại đã làm việc bằng cách thay đổi cài đặt DNS của các bộ định tuyến không dây để chuyển hướng lưu lượng truy cập đến các trang web độc hại do kẻ tấn công kiểm soát.

DNS

Sau khi sửa đổi, các thiết lập DNS giả mạo được cấu hình bởi tin tặc chuyển hướng nạn nhân đến các phiên bản giả mạo của các trang web hợp pháp mà họ cố truy cập và hiển thị thông báo cảnh báo bật lên, nói “Để trải nghiệm duyệt web, cập nhật phiên bản chrome mới nhất”.

Sau đó, nó tải ứng dụng phần mềm độc hại Roaming Mantis giả mạo thành ứng dụng trình duyệt Chrome cho Android, có quyền thu thập thông tin tài khoản của thiết bị, quản lý SMS / MMS và thực hiện cuộc gọi, ghi âm, kiểm soát bộ nhớ ngoài, kiểm tra gói, làm việc với hệ thống tệp cửa sổ lớp phủ v.v.

“Việc chuyển hướng dẫn đến việc cài đặt các ứng dụng Trojanized có tên facebook.apk và chrome.apk chứa Android Trojan-Banker.”

Nếu được cài đặt, ứng dụng độc hại sẽ chồng lên tất cả các cửa sổ khác ngay lập tức để hiển thị thông báo cảnh báo giả mạo (bằng tiếng Anh bị hỏng), có nội dung “Tài khoản tồn tại rủi ro, sử dụng sau khi chứng nhận”.

Roaming Mantis sau đó bắt đầu một máy chủ web cục bộ trên thiết bị và khởi chạy trình duyệt web để mở phiên bản giả mạo của trang web Google, yêu cầu người dùng điền vào tên và ngày sinh của họ.

DNS2

Để thuyết phục người dùng tin rằng họ đang trao thông tin này cho chính Google, trang giả hiển thị ID email Gmail của người dùng được định cấu hình trên thiết bị Android bị nhiễm của họ, như được hiển thị trong ảnh chụp màn hình.

“Sau khi người dùng nhập tên và ngày sinh của họ, trình duyệt được chuyển hướng đến một trang trống tại http://127.0.0.1:${random_port}/submit”, các nhà nghiên cứu cho biết. “Cũng giống như trang phân phối, phần mềm độc hại hỗ trợ bốn ngôn ngữ: tiếng Hàn, tiếng Trung Phồn thể, tiếng Nhật và tiếng Anh.”

Vì ứng dụng phần mềm độc hại Roaming Mantis đã được phép đọc và viết SMS trên thiết bị, nó cho phép kẻ tấn công ăn cắp mã xác minh bí mật để xác thực hai yếu tố cho tài khoản của nạn nhân.

Trong khi phân tích mã phần mềm độc hại, các nhà nghiên cứu đã tìm thấy tham chiếu đến các ứng dụng trò chơi và ngân hàng di động phổ biến của Hàn Quốc, cũng như một chức năng cố gắng phát hiện xem thiết bị bị nhiễm có bị bắt rễ hay không.

“Đối với những kẻ tấn công, điều này có thể chỉ ra rằng một thiết bị được sở hữu bởi một người dùng Android cao cấp (một tín hiệu để ngăn chặn rối loạn thiết bị) hoặc, một cách khác, là cơ hội để tận dụng quyền truy cập root để truy cập vào toàn bộ hệ thống”, các nhà nghiên cứu cho biết.

Điều thú vị về phần mềm độc hại này là nó sử dụng một trong những trang web truyền thông xã hội hàng đầu của Trung Quốc (my.tv.sohu.com) làm máy chủ điều khiển và lệnh của nó và gửi lệnh tới các thiết bị bị nhiễm thông qua việc cập nhật hồ sơ người dùng bị kiểm soát.

DNS3

Phần mềm độc hại Roaming Mantis đã được phát hiện hơn 6.000 lần, mặc dù các báo cáo đến từ chỉ 150 người dùng duy nhất.

Bạn nên đảm bảo rằng bộ định tuyến của bạn đang chạy phiên bản phần mềm mới nhất và được bảo vệ bằng mật khẩu mạnh.

Bạn cũng nên tắt tính năng quản trị từ xa của router và mã hóa máy chủ DNS đáng tin cậy vào cài đặt mạng của hệ điều hành.

Thống kê các vụ an ninh mạng nổi bật trong tháng 4 năm 2018 =>>XEM THÊM

Add Comment

Required fields are marked *. Your email address will not be published.