- 13,854
- 20
- 8 Ноя 2022
Файл APK для Android, и фишинговый сайт для iOS – злоумышленники позаботились обо всех.
Кампания Roaming Mantis обновила свое вредоносное ПО для Android, включив в него функцию изменения настроек исследователями «Лаборатории Касперского », которые ранее уже отслеживали активность Roaming Mantis. По словам аналитиков ЛК, Roaming Mantis использует перехват DNS ( Для просмотра ссылки Войди
Такой подход позволяет злоумышленникам проводить более целенаправленные атаки и компрометировать только определенных пользователей и регионы, избегая обнаружения во всех остальных случаях.
В последних кампаниях Roaming Mantis используется Для просмотра ссылки Войди
- Пользователю Android-устройства будет предложено установить APK-файл, содержащий «Wroba.o/XLoader»;
- А пользователей iOS целевая страница будет перенаправлять на фишинговый сайт для кражи учетных данных.
Цепочка атак в последней кампании Roaming Mantis После того, как вредоносное ПО установлено на Android-устройстве жертвы, «Wroba.o/XLoader» получает IP-адрес шлюза по умолчанию от подключенного WiFi-роутера. Затем вредонос пытается получить доступ к веб-интерфейсу администратора, используя пароль по умолчанию, чтобы определить модель устройства. Затем программа выполняет перехват DNS, изменяя настройки маршрутизатора с помощью разных методов в зависимости от обнаруженной модели.
Когда настройки DNS изменены, а устройства подключаются к Для просмотра ссылки Войди
Телеметрия «Лаборатории Касперского» показывает, что 10% всех жертв XLoader находятся в США. Чтобы защититься от кампании Roaming Mantis, нельзя переходить по ссылкам, полученным через SMS, а также не устанавливать APK-файлы не в Google Play.
- Источник новости
- www.securitylab.ru
