توزیع تروجان اندرویدی با تغییر در تنظیمات DNS مسیریاب‌ها

 

یک تروجان اندرویدی که خود را در قالب یک برنامه ی کاربردی جا می زند، از طریق رومینگ دستگاه های تلفن همراه در شبکه های وای فای در حال توزیع و گسترش است. محققان اعلام کردند در طول ۲ ماه گذشته این بدافزار کاربران در آسیا را هدف قرار داده است. در بخش هایی از این حمله، تنظیمات DNS بر روی مسیریاب تغییر داده شده تا قربانی به سمت یک آدرس IP مخرب هدایت شود. در این وب سایت برنامه ی کاربردی جعلی میزبانی می شود.


این تروجان  Roaming Mantis نام داشته و به نظر می‌رسد با اهداف کسب سود مالی توسط نفوذگران چینی و کره‌ای مورد استفاده قرار گرفته است. برنامه‌های جعلی که مهاجمان توسعه داده‌اند facebook.apk و chrome.apk نام داشته و نفوذگران تلاش می‌کنند تا قربانی را به دانلود و نصب این برنامه‌های جعلی ترغیب کنند.


به گفته‌ی محققان امنیتی از شرکت کسپرسکی، وقتی کاربر به وب‌سایت مخرب هدایت شد، آن‌جا اعلانی به او نمایش داده شده و از او درخواست می‌شود تا به‌طور مثال برای داشتن تجربه‌ای بهتر در مرورگر، آخرین نسخه‌ی مرورگر کروم را نصب کند. تروجان Roaming Mantis در طول نصب برای عملیاتی مانند استفاده از اینترنت، جمع‌آوری اطلاعات حساب‌های کاربری، مدیریت پیامک‌ها و MMS، برقراری تماس، ضبط صوت، کنترل منبع ذخیره‌سازی خارجی، بررسی بسته‌ها، کار با فایل سیستم‌ها و نمایش پنجره‌های پوششی از قربانی مجوزهایی را درخواست می‌کند.


بدافزار پس از نصب و راه‌اندازی وب‌سرور، یک پنجره‌ی پوششی را بر روی تمامی صفحات نمایش داده و با جعل صفحه‌ی احراز هویت گوگل با آدرس ۱۲۷٫۰٫۰٫۱ صفحه‌ای را ارائه می‌دهد. بدافزار از دستگاه آلوده، نام حساب کاربری گوگل را بدست آورده و با ارائه‌ی آن از کاربر می‌خواهد تا نام و تاریخ تولد خود را اعلام کند تا بتواند به حساب گوگل خود دسترسی یابد. 


مهاجم همچنین تلاش می‌کند کدهای اعتبارسنجی احراز هویت دو-مرحله‌ای را بدست آورد و در این راستا از مجوزهای ضبط صوت و مجوزهای خواندن/نوشتن/دریافت/ارسال پیامک و MMS می‌تواند استفاده کند. در کد این بدافزار ارجاعی به برخی از برنامه‌های محبوب بانکی و بازی‌ها در کره‌ی جنوبی نیز وجود دارد. 


محققان امنیتی متوجه شده‌اند که این تروجان در بازه‌های زمانی منظم، به‌روزرسانی‌هایی را برای کد خود دریافت می‌کند و همچنین برای ارتباط با سرور دستور و کنترل از پروتکل‌های ایمیل استفاده می‌کند. تروجان اطلاعاتی مانند زبان، شماره تلفن همراه، اطلاعات دسترسی و نتایج پینگ را برای سرور دستور و کنترل ارسال می‌کند.


در بازه‌ی زمانی ۹ فوریه تا ۹ آوریل در سال جاری، محققان نزدیک به ۶ هزار آلودگی به این تروجان را مشاهده کردند که تقریبا ۱۵۰ مورد از آن‌ها کاربران منحصربفرد را تحت تاثیر قرار داده بودند. بیشترین آلودگی به این تروجان در کره‌ی جنوبی، بنگلادش و ژاپن گزارش شده است. 


محققان اعلام کردند روزانه ۳ هزار ارتباط با سرور دستور و کنترل برقرار می‌شود که نشان می‌دهد این پویش بسیار گسترده است. این بدافزار تنها به سرقت اطلاعات اکتفا نکرده و کنترل دستگاه قربانی نیز در اختیار نفوذگران قرار می‌گیرد. همچنین کدهای این تروجان به‌طور مداوم به‌روزرسانی شده و این موضوع نشان می‌دهد که نفوذگران بسیار فعال هستند.
 

منبع

پست‌های مشابه

Leave a Comment