برمجية خبيثة جديدة تستهدف الهواتف الذكية عبر الراوتر

أفاد باحثو كاسبرسكي في يناير 2023 باكتشافهم وظيفة جديدة لأداة تغيير نظام أسماء النطاقات (DNS Changer) المستخدمة في حملة Roaming Mantis التخريبية.
كاسبرسكي تحدّد عوائق تحُول دون الإقبال على العملات الرقمية
يستطيع مجرمو الإنترنت، بموجب الوظيفة الجديدة المكتشفة، استخدام أجهزة التوجيه (الراوتر) في شبكات الإنترنت اللاسلكية (Wi-Fi) المخترقة في المقاهي والفنادق والمطارات والأماكن العامة الأخرى لإصابة المزيد من الهواتف الذكية التي تعمل بنظام أندرويد Android ببرمجية Wroba.o الخبيثة. وتستهدف التقنية الجديدة في الوقت الراهن المستخدمين في كوريا الجنوبية، ولكن بالإمكان استخدامها قريبًا في بلدان أخرى.
تعد حملة Roaming Mantis (المعروفة أيضًا باسم Shaoye) حملة تخريبية يقودها مجرمو الإنترنت، رصدتها كاسبرسكي لأول مرة في عام 2018. وتستخدم ملفات خبيثة من نوع "حزمة تطبيق أندرويد" APK للتحكّم في الأجهزة المصابة وسرقة المعلومات منها، كما تتمتع بقدرات التصيّد على أجهزة iOS وقدرات تعدين العملات الرقمية على أجهزة الحاسوب الشخصية. ويدلّ اسم الحملة على انتشارها في الهواتف الذكية التي تتجول بين شبكات "واي فاي"، والتي يُحتمل أن تنقل الإصابة وتنشرها إلى غيرها من الأجهزة.
وظيفة جديدة ل DNS Changer تمكنها من مهاجمة مزيد من المستخدمين عبر أجهزة الراوتر
اكتشف خبراء كاسبرسكي أن Roaming Mantis قد أدخلت حديثًا وظيفة جديدة على DNS Changer في Wroba.o (المعروف بالأسماء Agent.eq وMoqhao وXLoader)، وهو البرمجية الخبيثة التي استُخدمت لأول مرّة في الحملة.
يُعدّ DNS Changer برمجية خبيثة توجّه الجهاز المتصل بجهاز الراوتر المخترَق إلى خادم يقع تحت سيطرة مجرمي الإنترنت، بدلًا من خادم DNS الأصلي. وعندما يصل جهاز الضحية إلى الصفحة المقصودة، يُطلب من الضحية المحتملة تنزيل برمجية خبيثة يمكنها التحكّم في الجهاز أو سرقة بيانات اعتماد الدخول إلى حسابات مستخدمة.
ينحصر استهداف الجهة التخريبية الكامنة وراء Roaming Mantis، في الوقت الحالي،على أجهزة الراوتر الموجودة في كوريا الجنوبية، والتي تصنعها شركة كورية معروفة مختصة بالأجهزة الشبكية. وتحصل وظيفة DNS Changer الجديدة على عنوان IP الخاص بالراوتر وتتحقق من طرازه لتمييزه عن غيره من الطرز،
وضمان اختراق أجهزة الطراز المستهدف فقط عن طريق الكتابة فوق إعدادات DNS. ولاحظت كاسبرسكي في ديسمبر 2022، حدوث 508 عمليات تنزيل لحُزم APKخبيثة في كوريا الجنوبية.
كشف تحقيق في الصفحات الخبيثة المقصودة عن أن المهاجمين يستهدفون مناطق أخرى باستخدام الرسائل النصية القصيرة بدلاً من DNS Changer. ويستخدم هذا الأسلوب الرسائل النصية لنشر الروابط الخبيثة التي توجّه الضحية إلى الموقع المراد لتنزيل البرمجية الخبيثة على الجهاز أو سرقة معلومات المستخدم عبر أحد مواقع التصيّد.
وفقاً لإحصائيات شبكة كاسبرسكي الأمنية Kaspersky Security Network (KSN)، التي غطّت المدة بين سبتمبر وديسمبر 2022، فقد حدث أعلى معدّل لاكتشاف برمجية Wroba.o الخبيثة (Trojan-Dropper.AndroidOS.Wroba.o) في فرنسا (54.4%) واليابان (12.1%) والولايات المتحدة (10.1%).
نصائح لحماية الاتصال بالإنترنت من هذه الإصابة
مراجعة دليل الاستخدام الخاصة بجهاز الراوتر للتحقق من أنه لم يتمّ العبث بإعدادات DNS، أو الاتصال بمقدّم خدمة الإنترنت للحصول على الدعم.
تغيير تسجيل الدخول وكلمة المرور الافتراضيين للراوتر عبر الويب، وتحديث برمجياته الثابتة بانتظام من المصدر الرسمي.
الامتناع عن تثبيت البرمجيات الثابتة للراوتر من مصادر خارجية، وتجنُب استخدام مستودعات خارجية لأجهزة أندرويد.
التحقُق دائماً من عناوين المتصفح والموقع الإلكتروني للتأكّد من أصالتها، بالبحث عن علامات مثل https، عند طلب إدخال البيانات في صفحة ما.
الحرص على تثبيت حل أمني خاص بالأجهزة المحمولة، لحمايتها من هذه التهديدات وغيرها.