Cybercriminals Hijack Router DNS pour distribuer Android Trojan bancaire

Les chercheurs en sécurité ont mis en garde contre une campagne malveillante en cours détournant les routeurs Internet pour distribuer les logiciels malveillants bancaires Android.

Qui volent les informations sensibles des utilisateurs, les identifiants de connexion et le code secret pour l’authentification à deux facteurs.
Afin d’inciter les victimes à installer le malware Android, surnommé Roaming Mantis , les pirates ont détourné les paramètres DNS sur les routeurs vulnérables et mal sécurisés .
L’attaque par piratage DNS permet aux pirates d’intercepter le trafic, d’injecter des publicités malveillantes sur les pages Web et de rediriger les utilisateurs vers des pages d’hameçonnage conçues pour les inciter à partager leurs informations confidentielles telles que les identifiants bancaires, etc.
Le piratage des DNS des routeurs à des fins malveillantes n’est pas nouveau. Auparavant, nous signalions l’existence de DNSChanger et de Switcher très répandus - les deux logiciels malveillants fonctionnaient en modifiant les paramètres DNS des routeurs sans fil pour rediriger le trafic vers des sites Web malveillants contrôlés par des attaquants.
Découverte par des chercheurs en sécurité de Kaspersky Lab, la nouvelle campagne contre les logiciels malveillants cible principalement les utilisateurs dans les pays asiatiques, notamment en Corée du Sud, en Chine, au Bangladesh et au Japon depuis février de cette année.
Une fois modifiés, les paramètres DNS malveillants configurés par les pirates redirigent les victimes vers de fausses versions de sites Web légitimes qu’ils tentent de visiter et affichent un message d’avertissement qui indique : « Pour mieux connaître la navigation, mettez à jour la dernière version chromée.

Il télécharge ensuite l’application de malware Roaming Mantis déguisé en app navigateur Chrome pour Android, qui prend la permission de recueillir des informations de compte, gérer SMS / MMS et faire des appels, enregistrer audio, contrôler le stockage externe, vérifier les paquets, travailler avec les systèmes de fichiers, dessiner superposer des fenêtres et ainsi de suite.
"La redirection a conduit à l’installation d’applications Trojanized nommé facebook.apk et chrome.apk qui contenait Android Trojan-Banker."
Si elle est installée, l’application malveillante recouvre immédiatement toutes les autres fenêtres pour afficher un faux message d’avertissement (en anglais cassé), qui indique : « Le numéro de compte existe, risque d’utilisation après certification ».
Roaming Mantis démarre alors un serveur Web local sur l’appareil et lance le navigateur Web pour ouvrir une fausse version du site Web de Google, demandant aux utilisateurs de remplir leur nom et leur date de naissance.

Pour convaincre les utilisateurs qu’ils transmettent ces informations à Google, la fausse page affiche l’identifiant Gmail des utilisateurs configuré sur leur appareil Android infecté, comme indiqué dans les captures d’écran.
"Après que l’utilisateur entre son nom et sa date de naissance, le navigateur est redirigé vers une page vierge à http://127.0.0.1 :$random_port/submit", ont déclaré les chercheurs. "Tout comme la page de distribution, le malware prend en charge quatre locales : coréen, chinois traditionnel, japonais et anglais."
Depuis l’application de malware Roaming Mantis a déjà obtenu l’autorisation de lire et d’écrire des SMS sur le périphérique, il permet aux attaquants de voler le code de vérification secrète pour l’authentification à deux facteurs pour les comptes des victimes.
Lors de l’analyse du code malveillant, les chercheurs ont trouvé des références aux applications populaires de banque mobile et de jeu en Corée du Sud, ainsi qu’une fonction qui tente de détecter si le périphérique infecté est rooté.
"Pour les pirates, cela peut indiquer qu’un périphérique est la propriété d’un utilisateur Android avancé (un signal pour arrêter de jouer avec l’appareil) ou une possibilité de tirer parti de l’accès root pour accéder à l’ensemble du système".
Ce qui est intéressant à propos de ce malware est qu’il utilise l’un des principaux sites de médias sociaux chinois (my.tv.sohu.com) comme serveur de commande et de contrôle et envoie des commandes aux périphériques infectés via la mise à jour des profils utilisateur contrôlés par l’attaquant.

Selon les données de télémétrie de Kaspersky, le logiciel malveillant Roaming Mantis a été détecté plus de 6 000 fois, bien que les rapports proviennent de seulement 150 utilisateurs uniques.
Il est conseillé de s’assurer que votre routeur exécute la dernière version du firmware et qu’il est protégé par un mot de passe fort.
Vous devez également désactiver la fonction d’administration à distance du routeur et coder en dur un serveur DNS de confiance dans les paramètres réseau du système d’exploitation.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image