Szkodliwe aplikacje na Androida próbują zmienić adresy DNS na Twoim routerze
W sklepie Play pojawiły się aplikacje, które mają ukryte zadanie – chcą włamać się do aktualnie użytkowanej przez Ciebie sieci Wi-Fi i zmienić jej ustawienia tak, byś logował się przez serwery DNS atakujących.
Android i jego oficjalne repozytorium to bardzo ciekawe miejsce. Pomimo tego, iż Google stara się panować nad swoim sklepem, wprowadzając m.in. coraz bardziej restrykcyjne mechanizmy badania „czystości” aplikacji pod względem szkodliwego dla potencjalnego użytkownika kodu, to i tak co jakiś czas dowiadujemy się o złośliwych aplikacjach. Tym razem zespół Kaspersky namierzył programy, które zawierały w sobie złośliwe oprogramowanie z grupy Wroba.o/Agent.eq (tzw. Moqhao, XLoader).
Aplikacja po pobraniu na smartfon, podejmuje próbę wejścia na router, do którego aktualnie podłączone jest urządzenie mobilne. Aby to zrobić, metodą siłową próbuje zalogować się do trasownika, korzystając z domyślnych adresów IP, nazw użytkownika i haseł (np. 192.168.0.1 z loginem i hasłem „admin”). Jeśli oprogramowaniu się to powiedzie, zmieni adresy serwerów DNS na ich złośliwe odpowiedniki, nad którymi sprawuje kontrolę grupa hakerska.
Przykładowy atak ze zmianą adresów DNS na routerze
Dzięki temu operatorzy złośliwego oprogramowania mogą przekierowywać wszystkich użytkowników podłączonych do tej konkretnej sieci Wi-Fi (w tym oczywiście tych, bez złośliwego oprogramowania), do spreparowanych wersji popularnych stron internetowych. Dla przykładu – jeżeli zainfekowany smartfon połączy się z publiczną siecią Wi-Fi (np. w jakiejś restauracji czy kawiarni) i ostatecznie zmieni ustawienia serwera DNS w routerze, wszyscy inni w tej kawiarni, którzy spróbują połączyć się z Facebookiem, zostaną faktycznie przekierowani na fałszywą wersję portalu firmy Meta Platforms. Tam zostaną poproszeni o podanie danych logowania, a jeśli to zrobią, przekażą swoje dane logowania oszustom. Oczywiście analogiczna sytuacja będzie przy logowaniu na pocztę elektroniczną, czy do bankowości internetowej.
Badacze nie podali nazw dystrybuowanych aplikacji, ale poinformowali, iż pliki APK zostały pobrane co najmniej 46 000 razy. Głównym rynkiem „zbytu” były następujące kraje: Japonia (aż 24 000(!) pobrań), Austria, Francja, Niemcy, Korei Południowa, Turcja, Malezja i Indie. Grupą stojąca za stworzeniem tych aplikacji prawdopodobnie była Roaming Mantis.
O atakach typu Phishing już nie raz mówiono (i śmiano się z ich pomysłowości) w sieci. Najbardziej stereotypowe przykłady możecie zobaczyć na poniższym filmie:
Aby chronić się przed tego typu atakami, najlepszym rozwiązaniem byłoby unikanie łączenia się z publicznymi sieciami Wi-Fi (no chyba, że mamy dobry VPN) i nie instalowanie „dziwnych” aplikacji z sieci i sklepu Play. Dodatkowo przypominamy – Pamiętajcie o prawidłowej konfiguracji swojej sieci. Zmieniajcie pulę adresów IP, ustawiajcie własne nazw użytkowników i silne hasła do logowania się na router. A Wy z jakich metod ochrony korzystanie podczas pracy w sieciach LAN i WAN? Piszcie!
Źródło: Techradar
Komentarze
12