هم رسان: بدافزار رباینده دی ان اس روترهای رایج که اخیرا مشخص شد دستگاه های اندرویدی را مورد هدف قرار داده است، به تازگی قابلیت های خود را ارتقاء داده و می تواند در حال حاضر دستگاه های آی او اس و دسک تاپ را تحت تاثیر قرار دهد.

به گزارش پایگاه خبری هم رسان و به نقل از هکرنیوز، این بدافزار با نام Roaming Mantis اولین بار در ماه گذشته به خاطر سرقت اطلاعات روترهای اینترنتی برای توزیع بدافزار بانکی اندروید شناسایی شد که این بدافزار برای سرقت اطلاعات لاگین کاربران و کد رمز سیستم احراز هویت دو مرحله ای طراحی شده بود.
اما طبق گزارش محققان امنیتی شرکت Kaspersky Labs، گروه جنایی حمایت کننده از کمپین Roaming Mantis هدف های خود را با اضافه کردن حملات فیشینگ برای دستگاه های آی او اس و اسکریپت استخراج ارزهای رمزنگاری شده گسترده تر کرده اند.
به علاوه، با این که حملات اولیه برای مورد هدف قرار دادن کاربران آسیای جنوب شرقی از جمله کره جنوبی، چین، بنگلادش و ژاپن طراحی شده بودند، اما کمپین جدید در حال حاضر از 25 زبان پشتیبانی می کند تا بتواند عملیات خود را برای آلوده کردن کاربران اروپایی و خاورمیانه گسترش دهد.

نحوه عملکرد بدافزار Roaming Mantis
بدافزار Roaming Mantis جدید نیز مانند نسخه اولیه خود از طریق ربودن دی ان اس توزیع می شود، که در آن مهاجمان تنظیمات دی ان اس روترهای بی سیم را تغییر می دهند تا ترافیک را به سمت وب سایت های مخرب تحت کنترل خود هدایت کنند.
بنابراین هر بار که کاربری تلاش کند تا از طریق یک روتر دست کاری شده به یک وب سایت برود، به وب سایت های مخربی هدایت خواهد شد که موارد زیر را ارائه می دهد:
اپلیکیشن های تقلبیآلوده به بدافزار بانکی برای کاربران اندرویدی
سایت های فیشینگ برای کاربران آی او اس
سایت هایی با اسکریپت های استخراج ارزهای رمز نگاری شده برای کاربران دسک تاپ
محققان می گویند:” پس از این که کاربران اندرویدی به یک سایت مخرب هدایت می شود، این کاربران پیامی برای به روزرسانی مرورگر خود دریافت می کنند. این کار باعث دانلود یک اپلیکیشن مخرب با نام chrome.apk می شود، البته نسخه دیگری با نامfacebook.apk نیز وجود دارد.”
وب سایت های جعلی برای جلوگیری از شناسایی خیلی سریع بسته های جدیدی با فایل های apk مخرب منحصر به فرد ایجاد می کند و نام فایل رو به عنوان 8 عدد تصادفی تنظیم می کند.
پس از نصب این فایل، مهاجمان می توانند دستگاه های اندرویدی را با استفاده از 19 فرمان دریچه پشتی داخلی از جمله sendSms, setWifi, gcont, lock, onRecordAction, call, get_apps, ping و غیره تحت کنترل بگیرند.
در صورتی که قربانیان یک دستگاه آی او اس داشته باشند، بدافزار کاربران را به یک سایت فیشینگ هدایت می کند که از وب سایت اپل را تقلید می کند و ادعا می کند که ‘security.app.com,’ است و از آنها می خواهد تا ID کاربری، رمز عبور، شماره کارت، انقضای کارت و شماره CVV را وارد کنند.

محققان دریافته اند که بدافزار Roaming Mantis علاوه بر سرقت اطلاعات مهم و حساس از کاربران اندرویدی و آی او اس، یک اسکریپت استخراج ارز رمز نگاری شده مرورگر محور از CoinHive در هر کدام از صفحات فرود تزریق می کند، البته در صورتی که این صفحات با استفاده از مرورگرهای دسک تاپی برای استخراج Monero بازدید شوند.
محققان با در نظر گرفتن این قابلیت های جدید و رشد سریع کمپین معتقدند که “افراد پشت پرده انگیزه مالی محکمی دارند و به احتمال زیاد از حمایت مالی خوبی برخوردار هستند.”

نحوه مراقبت در مقابل بدافزار Roaming Mantis
برای مراقبت از خودتان در مقابل چنین بدافزاری، توصیه می کنیم که مطمئن شوید که روتر شما جدیدترین نسخه از میان افزارها رااستفاده می کند و با یک رمزعبور قوی و محکم مراقبت می شود.
از آنجایی که این کمپین هک از سرورهای دی ان اس تحت کنترل مهاجم برای فریب دامنه های قانونی و مجاز استفاده می کنند، توصیه می کنیم سایت هایی را بازدید کنید که HTTPS آنها فعال شده باشد.
همچنین باید قابلیت ادمین راه دور را غیر فعال کنید و یک سرور دی ان اس مطمئن و قانونی رو در تنظیمات شبکه سیستم عامل تون به صورت هارد کد اضافه کنید.
کاربران دستگاه های اندرویدی همیشه توصیه می شوند تا اپلیکیشن های موجود در فروشگاه های رسمی را دانلود و نصب کنند، و با رفتن به قسمت Settings → Security → Unknown sources نصب اپلیکیشن ها را از منابع ناشناس غیرفعال کنند.
برای بررسی این که آیا روتر وای فای شما قبلا دستکاری شده است یا خیر تنظیمات DNS را بررسی کنید و آدرس سرور دی ان اس را چک کنید. در صورتی که این سرور با مورد منتشر شده توسط تامین کننده مطابقت نداشت، آن را به گزینه درست تغییر دهید و خیلی سریع رمز عبور های حساب خود را تغییر دهید.