Kaspersky 연구원들은 Roaming Mantis 작업에 사용되는 새로운 DNS 스위처 기능을 보고했습니다. Roaming Mantis(Shaoye라고도 함)는 2018년 Kaspersky가 처음으로 관찰한 사이버 범죄 캠페인 또는 작전의 이름입니다. 악성 Android 패키지(APK) 파일을 사용하여 감염된 Android 기기를 관리하고 기기에서 기밀 정보를 훔칩니다. iOS 기기용 피싱 옵션과 PC용 암호화폐 채굴 기능도 있는 것으로 알려졌다. 이 캠페인의 이름은 Wi-Fi 네트워크를 로밍하는 스마트폰을 통해 확산되어 잠재적으로 감염을 옮기고 퍼뜨릴 수 있기 때문입니다.
"공용 라우터 및 새로운 DNS 체인저 기능"
Kaspersky는 최근 Roaming Mantis가 캠페인 악성코드 Wroba.o(일명 Agent.eq, Moqhao, XLoader)를 통해 새로운 DNS 체인저 기능을 제공한다는 사실을 발견했습니다. DNS 체인저는 손상된 Wi-Fi 라우터에 연결된 장치를 합법적인 DNS 서버 대신 사이버 범죄자가 제어하는 다른 서버로 리디렉션하는 악성 프로그램이라고 부를 수 있습니다. 이 시나리오에서 잠재적 피해자는 방문 페이지에서 장치를 제어하거나 자격 증명을 도용할 수 있는 맬웨어를 다운로드하라는 요청을 받습니다.
현재 Roaming Mantis의 배후 공격자들은 한국에 위치한 매우 유명한 한국 네트워킹 장비 공급업체에서 제조한 라우터만 표적으로 삼고 있습니다. 2022년 508월 Kaspersky는 해당 국가에서 XNUMX개의 악성 APK 다운로드를 관찰했습니다.
악성 페이지에 대한 연구에 따르면 공격자는 DNS 체인저 대신 스미싱을 사용하여 다른 지역도 표적으로 삼고 있는 것으로 나타났습니다. 이 기술은 문자 메시지를 사용하여 피해자를 피싱 사이트로 안내하는 링크를 전파하여 장치에 맬웨어를 다운로드하거나 사용자 정보를 도용합니다.
2022년 54,4월~12,1월 Kaspersky Security Network(KSN) 통계에 따르면 프랑스(10,1%), 일본(XNUMX%) 및 미국( XNUMX%).
Suguru Ishimaru는 "감염된 스마트폰이 카페, 바, 도서관, 호텔, 쇼핑몰, 공항, 심지어 가정과 같은 다양한 공공 장소에서 '정상적인' 라우터에 연결되면 Wroba.o 악성코드가 이 라우터로 전송됩니다."라고 말했습니다. Kaspersky의 수석 보안 연구원은 연결된 장치에 영향을 미칠 수 있습니다. 새로운 DNS 체인저 기능은 악성 호스트로 전달 및 보안 업데이트 비활성화와 같이 손상된 Wi-Fi 라우터를 사용하여 거의 모든 장치 선택을 관리할 수 있습니다. "우리는 이 발견이 대상 지역에 널리 퍼질 가능성이 있기 때문에 Android 기기의 사이버 보안에 매우 중요하다고 생각합니다."
이 감염으로부터 인터넷 연결을 보호하기 위해 Kaspersky 연구원은 다음을 권장합니다.
- 라우터 설명서를 확인하여 DNS 설정이 변경되지 않았는지 확인하거나 인터넷 서비스 제공업체에 지원을 요청하십시오.
- 라우터의 웹 인터페이스에 사용되는 기본 사용자 이름과 암호를 변경하고 공식 소스에서 정기적으로 펌웨어를 업데이트하십시오.
- 타사 소스에서 라우터 소프트웨어를 설치하지 마십시오. Android 기기에도 타사 스토어를 사용하지 마세요.
- 또한 항상 브라우저와 웹사이트 주소를 확인하여 안전한지 확인하십시오. 데이터를 입력하라는 메시지가 표시되면 https:// 보안 연결을 확인해야 합니다.
코멘트를 가장 먼저하십시오