Roaming Mantis Malware serangan pengguna Android melalui router Hacked

Computer Security News

Kaspersky keamanan peneliti menemukan malware Android baru, yang disebut Roaming Mantis, didistribusikan melalui sebuah trik sederhana yang berdasarkan DNS pembajakan.

Para pengembang Roaming Mantis malware beroperasi seperti seseorang yang telah bertukar buku telepon Anda dengan salah satu yang mereka ciptakan, dimana semua nomor telepon penting telah diubah untuk menelepon teman-teman aktor buruk bukan bank Anda mencoba untuk menelepon.

Kemudian, siapapun menjawab telepon berhasil meyakinkan Anda bahwa mereka benar-benar adalah bank yang Anda pikir Anda memanggil. Anda menjawab pertanyaan keamanan Anda melalui telepon dan ketika Anda menutup, aktor buruk kemudian panggilan bank Anda dan berhasil menyamar sebagai Anda karena mereka sekarang memiliki jawaban untuk pertanyaan keamanan Anda.

Ini adalah semua analogi yang cacat karena tidak ada yang menggunakan buku telepon lagi, namun, jika Anda mengganti “buku telepon” dengan “DNS”, hal ini tidak analogi lagi. Ini adalah sebuah serangan maya yang nyata yang saat ini menargetkan pengguna ponsel di Asia berusaha untuk mencuri rincian bank mereka.

Bulan lalu, laporan tentang hack router di Jepang yang mengarahkan pengguna ke website dikompromikan dibebaskan. Menurut penyelidikan Kaspersky Lab, serangan cyber menargetkan pengguna di Asia dengan situs palsu yang disesuaikan untuk bahasa Inggris, Korea, Jepang dan Cina sederhana. Statistik lengkap dari infeksi menunjukkan bahwa saat ini pengguna paling terkena dampak terletak di Bangladesh, Jepang dan Korea Selatan.

Serangan cyber dimulai ketika pengguna mencoba untuk mengakses situs web yang sah melalui router dikompromikan. Alih-alih mencapai situs dimaksud, pengguna diarahkan ke salinan meyakinkan website dan akan disajikan dengan kotak dialog popup yang mengatakan, “untuk lebih mengalami browsing, update ke versi terbaru Chrome.”

Ketika pengguna mengklik tombol OK, download file bernama chrome.apk, tapi bukan yang mengandung browser Chrome diperbarui, file berisi Roaming Mantis malware.

Selama proses instalasi Roaming Mantis, pengguna akan diminta untuk mengotorisasi jumlah izin termasuk kemampuan untuk muncul di atas aplikasi lain, mengakses daftar kontak, membuat panggilan telepon, mengumpulkan informasi account, sending/ menerima pesan SMS, dan perekaman audio. Apabila izin tersebut telah dikonfirmasi oleh pengguna, mulai tahap berikutnya kompromi.

Menggunakan kemampuannya untuk muncul di bagian atas aplikasi lainnya, Roaming Mantis malware akan menampilkan pesan peringatan yang berkata, “nomor rekening ada risiko, gunakan setelah sertifikasi”

Setelah user menekan tombol Enter, versi palsu Google situs web host pada server web sementara di telepon akan ditampilkan. Halaman palsu menunjukkan ID pengguna Gmail dan meminta pengguna nama dan tanggal lahir. Ini akan memberikan para penyerang dengan Google ID pengguna, nama lengkap dan tanggal kelahiran yang cukup untuk mulai mengorbankan informasi perbankan.

Sebagian besar Bank memerlukan kedua factor authentication (2FA) sebelum mengizinkan pengguna untuk membuat perubahan, namun, Roaming Mantis malware berwenang untuk mencegat pesan SMS yang harus menumbangkan banyak proses 2FA.

Menurut para ahli, untuk menjaga data aman pengguna harus aman router pertama. Juga, up-to-date firmware, sandi yang kuat untuk akses admin dan menonaktifkan akses remote ke antarmuka administrasi pada router akan membuat sulit untuk kompromi.

Terbaru serangan target layanan DNS yang berjalan pada router. Layanan DNS yang berjalan pada server dalam jaringan Anda adalah tidak risiko serangan ini (tapi tidak kebal terhadap semua serangan.) Dengan demikian, hanya menginstal perangkat lunak dari toko-toko aplikasi terpercaya dan memperhatikan izin yang sedang diminta.


Leave a Reply

Your email address will not be published. Required fields are marked *