Yeni bir Android uygulamasının, şüphelenmeyen kullanıcıları (temiz cihazlara sahip olanlar bile) popüler web sitelerinin kötü amaçlı sürümlerini ziyaret etmeleri için kandırdığı ve sonunda oturum açma kimlik bilgilerini ve hatta daha kötüsü parayı verebilecekleri bulundu.
Bulgular, Wroba.o/Agent.eq (namı diğer Moqhao, XLoader) kötü amaçlı yazılımını taşıyan kötü amaçlı bir Android uygulamasının dağıtıldığını tespit eden Kaspersky’den geldi.
Uygulama indirildiğinde, mobil cihazın bağlı olduğu Wi-Fi yönlendiricisine bağlanmaya çalışacaktır. Bunu yapmak için, en yaygın kullanıcı adı/şifre kombinasyonlarının yanı sıra fabrika ayarlarıyla geldiği bilinenleri (admin/admin gibi) dener. Başarılı olursa, DNS sunucusunu, tehdit aktörünün kontrolünde olan kötü niyetli bir sunucuya çevirecektir.
gezgin peygamber devesi
Bu, kötü amaçlı yazılımın operatörlerinin, kötü amaçlı yazılım içermeyenler de dahil olmak üzere söz konusu Wi-Fi ağına bağlı tüm kullanıcıları popüler web sitelerinin kötü amaçlı sürümlerine yönlendirmesine olanak tanır.
Örneğin, güvenliği ihlal edilmiş bir uç nokta yoğun bir kafede halka açık bir Wi-Fi’ye bağlanırsa ve sonunda yönlendiricideki DNS sunucusu ayarlarını değiştirirse, o kafede Facebook’a bağlanmaya çalışan diğer herkes aslında sahte bir Facebook’a yönlendirilir. sayfa. Orada oturum açma bilgilerini vermeleri istenecek ve bunu yaparlarsa oturum açma kimlik bilgilerini dolandırıcılara verecekler.
Araştırmacılar dağıtılan uygulamaların adını vermedi, ancak APK’ların Japonya, Avusturya, Fransa, Almanya, Güney Kore, Türkiye, Malezya ve Hindistan’da en az 46.000 kez indirildiğini söylediler. 24.000’den fazla indirme ile Japonya açık ara en çok etkilenen ülke.
Uygulamaların arkasındaki grubun Roaming Mantis olduğu iddia ediliyor. Bu tür saldırılara karşı korunmak için yapılacak en iyi şey, halka açık Wi-Fi ağlarındaki önemli hesaplara bağlanmaktan kaçınmak olacaktır.
Üzerinden: ArsTechnica (yeni sekmede açılır)