HOT: Tội phạm mạng chiếm Router DNS để phân phối Trojan Android Banking. Các nhà nghiên cứu bảo mật tại Kaspersky Lab vừa phát hiện và cảnh báo người dùng về chiến dịch tấn công mới này.
Các nhà nghiên cứu bảo mật vừa cảnh báo người dùng về chiến dịch tấn công mới. Theo đó tội phạm mạng chiếm Router DNS để phân phối Trojan Android Banking, đánh cắp các thông tin, dữ liệu nhạy cảm của người dùng, bao gồm thông tin đăng nhập và mã xác thực 2 yếu tố.
HOT: Tội phạm mạng chiếm Router DNS để phân phối Trojan Android Banking
Để đánh lừa nạn nhân cài đặt phần mềm độc hại Android có tên là Roaming Mantis, các hacker chiếm quyền kiểm soát các thiết lập DNS trên các router (bộ định tuyến ) dễ bị tổn thương và không an toàn.
Cuộc tấn công chiếm quyền kiểm soát DNS cho phép hacker chặn lưu lượng truy cập, đưa các quảng cáo giả mạo vào trang web và chuyển hướng người dùng tới các trang web lừa đảo được thiết kế để đánh lừa người dùng chia sẻ các thông tin, dữ liệu nhạy cảm như thông tin đăng nhập, thông tin tài khoản ngân hàng và nhiều dữ liệu khác. Tham khảo cách đổi DNS cho Android tại đây.
Chiếm đoạt Router DNS để thực hiện các mục đích độc hại không còn quá mới lạ gì nữa. Trước đây xuất hiện khá nhiều báo cáo về lây lan DNSChanger và Switcher, cả 2 phần mềm độc hại này hoạt động bằng cách thay đổi các thiết lập DNS và router không dây để chuyển hướng lưu lượng truy cập tới các trang web độc hại mà kẻ tấn công kiểm soát.
Các nhà nghiên cứu bảo mật tại Kaspersky Lab đã phát hiện ra chiến dịch phần mềm độc hại này. Chiến dịch này nhắm mục tiêu vào người dùng ở các nước Châu Á, bao gồm Hàn Quốc, Trung Quốc, Bangladesh và Nhật Bản, và bắt đầu từ hồi tháng 2 năm nay.
Sau khi chỉnh sửa xong, các thiết lập DNS giả mạo được cấu hình bởi các hacker sẽ chuyển hướng nạn nhân tới các phiên bản giả mạo của các trang web hợp lệ mà họ đang cố gắng truy cập và hiển thị một cửa sổ popup kèm theo cảnh báo nói rằng: "Để trải nghiệm duyệt web tốt hơn, bạn nên cập nhật phiên bản Chrome mới nhất".
Sau đó người dùng tải xuống ứng dụng phần mềm độc hại Roaming Mantis giả mạo là ứng dụng Chrome cho Android, cho phép thu thập thông tin tài khoản thiết bị, quản lý SMS/MMS và thực hiện cuộc gọi, ghi âm, kiểm soát lưu trữ bên ngoài, kiểm tra gói, làm việc với tập tin hệ thống, ....
"Việc chuyển hướng dẫn đến cài đặt các ứng dụng Trojanized có tên facebook.apk và chrome.apk chứa Trojan Android Banker".
Nếu được cài đặt, ứng dụng độc hại sẽ che phủ tất cả các cửa sổ khác ngay lập tức để hiển thị cảnh báo giả mạo.
Sau đó Roaming Mantis sẽ mở máy chủ web cục bộ trên thiết bị và khởi chạy trình duyệt web để mở phiên bản giả mạo trang web Google, yêu cầu người dùng nhập các thông tin ngày sinh, tên tuổi của họ vào đó.
Để thuyết phục người dùng tin rằng họ đang đăng nhập các thông tin trên trang web hợp lệ, trang web giả mạo sẽ hiển thị ID email Gmail của người dùng được cấu hình trên thiết bị Android bị nhiễm phần mềm độc hại.
Các nhà nghiên cứu cho biết: "Sau khi người dùng đăng nhập tên và ngày sinh của họ, trình duyệt sẽ được chuyển hướng tới trang web trắng theo địa chỉ http://127.0.0.1:${random_port}/submit". "Giống như trang web phân phối, phần mềm độc hại cũng hỗ trợ 4 ngôn ngữ chính là Hàn Quốc, Trung Quốc, Nhật và Anh".
Ví ứng dụng độc hại Roaming Mantis đã được cấp phép đọc và viết tin nhắn SMS trên thiết bị Android, nó sẽ cho phép kẻ tấn công đánh cắp mã xác thực bí mật để xác thực 2 yếu tố các tài khoản của nạn nhân.
Trong khi phân tích mã phần mềm độc hại, các nhà nghiên cứu đã phát hiện tài liệu tham khảo về các ứng dụng ngân hàng và game phổ biến trên thiết bị di động tại Hàn Quốc, và chức năng phát hiện thiết bị bị nhiễm có nguồn gốc từ đâu. Người dùng nên trang bị cho thiết bị của mình một công cụ diệt virus chuyên nghiệp hiện nay, bạn có thể tham khảo top ứng dụng diệt virus trên Android tại đây.
Các nhà nghiên cứu cho biết: "Với kẻ tấn công, điều này có thể chỉ ra rằng thiết bị Android thuộc sở hữu của người dùng cao cấp hoặc cơ hội để tận dụng quyền root truy cập toàn bộ hệ thống".
Điều thú vị là phần mềm độc hại này sử dụng một trong những trang web mạng xã hội hàng đầu của Trung Quốc, my.tv.sohu.com làm máy chủ C&C (command-and-control) và gửi các lệnh tới các thiết bị bị nhiễm bằng cách cập nhật hồ sơ người dùng bị tấn công kiểm soát.
Theo dữ liệu Telemetry của Kaspersky, phần mềm độc hại Roaming Mantis đã được phát hiện hơn 6.000 lần, mặc dù báo cáo chỉ phát hiện trên 150 thiết bị của người dùng.
Nên đảm bảo Router của bạn đang sử dụng phiên bản firmware mới nhất và được bảo vệ bằng mật khẩu mạnh, khó đoán. Ngoài ra bạn cũng nên vô hiệu hóa tính năng điều khiển router từ xa và mã hóa cứng máy chủ DNS tin cậy cài đặt trong cài đặt mạng trên hệ điều hành.
https://thuthuat.taimienphi.vn/toi-pham-mang-chiem-router-dns-de-phan-phoi-trojan-android-banking-34173n.aspx
Để người dùng có thể xử lý công việc một cách trôi chảy, nhanh hơn, Google Sheets bổ sung Macro để tự động hóa luồng công việc của người dùng. Ngoài ra, người dùng còn có thể tuỳ chỉnh macro, script để tự động thực hiện những tác vụ riêng biệt.