- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
Обновленный вариант «Wroba.o/XLoader» был обнаружен исследователями «Лаборатории Касперского», которые ранее уже отслеживали активность Roaming Mantis. По словам аналитиков ЛК, Roaming Mantis использует перехват DNS (DNS Hijacking) как минимум с 2018 года, но в последней кампании вредоносное ПО нацелено на определенные маршрутизаторы, используемые в основном в Южной Корее. Кроме того, хакеры могут изменить модели роутеров в любое время, включив маршрутизаторы, которые используются в других странах.
Такой подход позволяет злоумышленникам проводить более целенаправленные атаки и компрометировать только определенных пользователей и регионы, избегая обнаружения во всех остальных случаях.
В последних кампаниях Roaming Mantis используется смишинг для направления целей на вредоносный веб-сайт.
- Пользователю Android-устройства будет предложено установить APK-файл, содержащий «Wroba.o/XLoader»;
- А пользователей iOS целевая страница будет перенаправлять на фишинговый сайт для кражи учетных данных.
Когда настройки DNS изменены, а устройства подключаются к Wi-Fi, они перенаправляются на вредоносную страницу, где жертве будет предложено установить вредоносное ПО. Это создает непрерывный поток зараженных устройств для дальнейшего взлома чистых роутеров в общедоступных сетях, которые обслуживают большое количество людей в стране.
Телеметрия «Лаборатории Касперского» показывает, что 10% всех жертв XLoader находятся в США. Чтобы защититься от кампании Roaming Mantis, нельзя переходить по ссылкам, полученным через SMS, а также не устанавливать APK-файлы не в Google Play.