شما عضو این انجمن نبوده یا وارد نشده اید. لطفا برای مشاهده کامل انجمن و استفاده از آن وارد شوید یا ثبت نام کنید .

امتیاز موضوع:
  • 83 رأی - میانگین امتیازات: 2.82
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
بدافزار trojan banker روتر گسترش بانکی هکر اندروید مودم ربودن کسپرسکی mantis roaming dns android از hack هایجک طریق

گسترش بدافزار بانکی اندروید از طریق ربودن DNS مودم
#1
هکرها تنظیمات DNS را در روترهای آسیب پذیر و روترهایی که امنیت پایینی دارند می ربایند.

محققان امنیتی به تازگی درمورد کمیپین بدافزاری هشدار داده اند که روترهای اینترنتی را برای گسترش بدافزار بانکی اندروید ربوده و قادر است اطلاعات حساس کاربران، اعتبار لوگین و رمز پنهان آنها برای احراز هویت دومرحله ای به سرقت ببرند. به منظور فریب دادن قربانیان برای نصب بدافزار اندرویدی که Roaming Mantis نام دارد، هکرها تنظیمات DNS را در روترهای آسیب پذیر و روترهایی که امنیت پایینی دارند می ربایند.

هایجک یا ربودن DNS به هکرها اجازه می دهد تا ترافیک را از بین ببرند، تبلیغات فریبنده را در سراسر وب تزریق و کاربران را به صفحات مختلف فیشینگ که می تواند آنها را برای به اشتراک گذاری اطلاعات حساس مانند اعتبارنامه لوگین، جزئیات حساب بانکی و موارد دیگر فریب دهد،هدایت کنند. ربودن DNS روترها برای اهداف مخرب حمله جدیدی محسوب نمی‌شود. پیش از این ما در مورد DNSChanger و  Switcher مقاله نوشته بودیم، هر دوی آنها بدافزارهایی بودند که با تغییر تنظیمات  DNS روترهای بی‌سیم، ترافیک را به وب سایت های مخرب تحت کنترل مجرمان هدایت کرده بودند.  
طبق یافته های محققان امنیتی در لابراتوار کسپرسکی، کمپین جدید بدافزارها در وهله اول کاربران را در کشورهای آسیایی از جمله کره جنوبی، چین، بنگلادش و ژاپن و از ماه فوریه امسال مورد هدف قرار داده است.

پس از آن، تنظیمات خرابکارانه DNS که توسط هکرها پیکربندی شده است، قربانیان را به بازدید نسخه های جعلی وب سایت های قانونی هدایت می کند و یک پیام هشدار دهنده با عنوان "To better experience the browsing, update to the latest chrome version ( برای تجربه بهتر در وب گردی، مرورگر خود را به آخرین نسخه کروم آپدیت کنید " نمایان می کند.
 
سپس بدافزار Roaming Mantis با ظاهر اپلیکیشن Chrome browser برای اندروید دانلود می شود که  اجازه ی جمع آوری اطلاعات حساب دستگاه، مدیریتSMS/MMS، برقراری تماس، ضبط صدا، کنترل ذخیره سازی خارجی، بررسی پکیج ها، کار با سیستم های فایل و غیره را از دستگاه قربانی دارد. تغییر مسیر این بدافزار برای نصب برنامه های تروجانی با نام facebook.apk و chrome.apk است که شامل تروجان اندرویدی  Trojan-Banker می شود. اگر بدافزار بر روی دستگاه نصب شود، اپلیکیشن مخرب بلافاصله تمام پیام های هشدار جعلی را نشان می دهد که با زبان انگلیسی  می گوید:"Account No.exists risks, use after certification".

سپس بدافزار Roaming Mantis یک سرور وب محلی را به دستگاه متصل، مرورگر وب را برای باز کردن یک نسخه ی جعلی وب سایت گوگل راه اندازی می کند و از کاربران می خواهد که نام و تاریخ تولد خود را ثبت کنند. به منظور اینکه کاربران متقاعد شوند که این اطلاعات برای گوگل است و به خود آن تحویل داده می شود، یک صفحه ی جعلی جیمیل بر روی دستگاه آلوده ی اندرویدی کاربران نمایان می شود.
پس از اینکه کاربران اسم و تاریخ تولد خود را وارد کردند، مرورگر به یک صفحه خالی در http://127.0.0.1:${random_port}/submit هدایت می شود.

از آنجا که برنامه مخرب Roaming Mantis  پیش از این برای خواندن و نوشتن اس ام اس روی دستگاه به کار برده می شد، به مجرمان اجازه می دهد تا بتوانند پسورد مخفی را که برای احراز هویت دو مرحله ای حساب قربانیان به کار برده می شود را به سرقت ببرند. مادامی که آنالیزها بر روی کدهای مخرب بدافزار انجام می شد، محققان مرجعی را برای برنامه های بانکداری تلفن همراه و بازی های رایانه ای محبوب کره ی جنوبی و همچنین تابعی را یافتند که دستگاه آلوده ای که روت شده است را شناسایی کند.    

برای مجرمان، استفاده از این تابع نشان می دهد که دستگاه برای چه شخصی است، یک کاربر پیشرفته ی اندروید یا برعکس، دستگاه کاربری که سیستم آن روت شده است و از این طریق می توان به کل سیستم وی دسترسی یافت. مورد جالبی که در این بدافزار وجود دارد این است که Roaming Mantis  از یک وب سایت شبکه ی اجتماعی پیشرو چینی با نام my.tv.sohu.com به عنوان سرور فرمان و کنترل استفاده می کند و دستورات را تنها به دستگاه های آلوده ای ارسال می کند که آپدیت پروفایل های کاربر توسط مجرمان کنترل می شود.
 
با توجه به اطلاعات تلمتری کسپرسکی، بدافزار Roaming Mantis بیش از 6000 بار شناسایی شده است. حتما از آپدیت بودن روتر و اجرا شدن آخرین نسخه سیستم عامل روی آن اطمینان حاصل کنید  و آن را با یک رمز عبور قوی امن نگاه دارید. همچنین بهتر است ویژگی مدیریت از راه دور روتر خود را غیرفعال و یک سرور DNS قابل اعتماد را به تنظیمات شبکه ی سیستم عامل خود متصل کنید.
پاسخ
 سپاس شده توسط saberi


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
  انتشار بدافزار Prowli ، مراقب ارز دیجیتالی Monero باشید farnaz 1 2,587 ۰۱/۴/۱۱، ۰۵:۲۰ عصر
آخرین ارسال: Canizales41
  نرم افزار هک وای فای چگونه کار می کند و چطور از هک شدن مودم جلوگیری hoboot 0 2,609 ۹۷/۵/۱۷، ۰۹:۳۸ عصر
آخرین ارسال: hoboot
  گسترش باج افزار CyberSCCP در فضای اینترنت ایران نگار 0 1,653 ۹۷/۴/۱۳، ۰۱:۰۹ صبح
آخرین ارسال: نگار
  بدافزار پیشرفته جاسوسی InvisiMole برای عبور از فایروال ویندوز و هک اطل hoboot 0 2,073 ۹۷/۳/۲۲، ۰۳:۴۷ صبح
آخرین ارسال: hoboot
  انتشار دو بدافزار مخرب جدید از گروه APT کشور کره شمالی hoboot 0 2,179 ۹۷/۳/۲۲، ۰۳:۳۶ صبح
آخرین ارسال: hoboot
  هک جدید از طریق واتس اپ به روش فیشینگ و هایجک saberi 0 4,256 ۹۷/۳/۱۷، ۱۲:۵۷ صبح
آخرین ارسال: saberi
  هشدار فوری درباره بدافزار VPNFilter saberi 0 1,355 ۹۷/۳/۷، ۰۵:۳۸ عصر
آخرین ارسال: saberi
  امکان نفوذ به گوشی از طریق شبکه های اجتماعی saberi 0 1,443 ۹۷/۳/۳، ۰۳:۲۵ صبح
آخرین ارسال: saberi
  بدافزار ZooPark در کمین کاربران اندروید saberi 0 1,479 ۹۷/۲/۲۶، ۰۵:۳۲ صبح
آخرین ارسال: saberi
  بدافزار ZooPark از کاربران خاورمیانه تلگرام و واتس اپ از جمله ایرانی soraya 0 1,766 ۹۷/۲/۱۷، ۰۷:۴۶ عصر
آخرین ارسال: soraya

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان