تحذيرات من برمجية خبيثة تستهدف الهواتف الذكية والحاسبات عبر الراوتر
أكد باحثو كاسبرسكي على اكتشافهم وظيفة جديدة لأداة تغيير نظام أسماء النطاقات (DNS Changer) المستخدمة في حملة Roaming Mantis التخريبية. يستطيع مجرمو الإنترنت، بموجب الوظيفة الجديدة المكتشفة، استخدام أجهزة التوجيه (الراوتر) في شبكات الإنترنت اللاسلكية (Wi-Fi) المخترقة في المقاهي والفنادق والمطارات والأماكن العامة الأخرى لإصابة المزيد من الهواتف الذكية التي تعمل بنظام أندرويد Android ببرمجية Wroba.o الخبيثة.
الراوتر وأجهزة التوجيه اللاسلكية
وتستهدف التقنية الجديدة في الوقت الراهن المستخدمين في كوريا الجنوبية، ولكن بالإمكان استخدامها قريبًا في بلدان أخرى حيث تعد حملة Roaming Mantis (المعروفة أيضًا باسم Shaoye) حملة تخريبية يقودها مجرمو الإنترنت، رصدتها كاسبرسكي لأول مرة في عام 2018. وتستخدم ضد الراوتر ملفات خبيثة من نوع "حزمة تطبيق أندرويد" APK للتحكّم في الأجهزة المصابة وسرقة المعلومات منها، كما تتمتع بقدرات التصيّد على أجهزة iOS وقدرات تعدين العملات الرقمية على أجهزة الحاسوب الشخصية. ويدلّ اسم الحملة على انتشارها في الهواتف الذكية التي تتجول بين شبكات "واي فاي"، والتي يُحتمل أن تنقل الإصابة وتنشرها إلى غيرها من الأجهزة.
اكتشف خبراء كاسبرسكي أن Roaming Mantis قد أدخلت حديثًا وظيفة جديدة على DNS Changer في Wroba.o (المعروف أيضًا بالأسماء Agent.eq وMoqhao وXLoader)، وهو البرمجية الخبيثة التي استُخدمت لأول مرّة في الحملة. ويُعدّ DNS Changer برمجية خبيثة توجّه الجهاز المتصل بجهاز الراوتر المخترَق إلى خادم يقع تحت سيطرة مجرمي الإنترنت، بدلًا من خادم DNS الأصلي. وعندما يصل جهاز الضحية إلى الصفحة المقصودة، يُطلب من الضحية المحتملة تنزيل برمجية خبيثة يمكنها التحكّم في الجهاز أو سرقة بيانات اعتماد الدخول إلى حسابات مستخدمه.
وينحصر استهداف الجهة التخريبية الكامنة وراء Roaming Mantis، في الوقت الحالي، على أجهزة الراوتر الموجودة في كوريا الجنوبية، والتي تصنعها شركة كورية معروفة مختصة بالأجهزة الشبكية. وتحصل وظيفة DNS Changer الجديدة على عنوان IP الخاص بالراوتر وتتحقق من طرازه لتمييزه عن غيره من الطرز، وضمان اختراق أجهزة الطراز المستهدف فقط عن طريق الكتابة فوق إعدادات DNS. ولاحظت كاسبرسكي في ديسمبر 2022، حدوث 508 عمليات تنزيل لحُزم APK خبيثة في كوريا الجنوبية.
وكشف تحقيق في الصفحات الخبيثة المقصودة عن أن المهاجمين يستهدفون أيضًا مناطق أخرى باستخدام الرسائل النصية القصيرة بدلًا من DNS Changer. ويستخدم هذا الأسلوب الرسائل النصية لنشر الروابط الخبيثة التي توجّه الضحية إلى الموقع المراد لتنزيل البرمجية الخبيثة على الجهاز أو سرقة معلومات المستخدم عبر أحد مواقع التصيّد.
ووفقًا لإحصائيات شبكة كاسبرسكي الأمنية Kaspersky Security Network (KSN)، التي غطّت المدة بين سبتمبر وديسمبر 2022، فقد حدث أعلى معدّل لاكتشاف برمجية Wroba.o الخبيثة (Trojan-Dropper.AndroidOS.Wroba.o) في فرنسا (54.4%) واليابان (12.1%) والولايات المتحدة (10.1%).
وأوضح سوغورو إيشيمارو الباحث الأمني الأول لدى كاسبرسكي، أن اتصال هاتف ذكي مصاب بأجهزة راوتر سليمة في شبكات الإنترنت العامة في المقاهي أو الفنادق أو مراكز التسوق أو المطارات، أو حتى المنازل، يسمح لبرمجية Wroba.o الخبيثة باختراق أجهزة الراوتر تلك والتأثير في الأجهزة الأخرى المتصلة بالشبكة.
توجيه استخدام الراوتر المخترق
وقال: "يمكن لوظيفة DNS Changer الجديدة إدارة جميع اتصالات الجهاز باستخدام الراوتر المخترق، مثل إعادة التوجيه إلى الأجهزة المضيفة الخبيثة وحتى تعطيل التحديثات في المنتجات الأمنية، لذلك يُعدّ هذا الاكتشاف مهمًا للأمن الرقمي لأجهزة أندرويد، نظرًا لكونه قادرًا على الانتشار الواسع في المناطق المستهدفة".
ونقدم لكم من خلال موقع (فيتو)، تغطية ورصدًا مستمرًّا على مدار الـ 24 ساعة لـ أسعار الذهب، أسعار اللحوم ، أسعار الدولار ، أسعار اليورو ، أسعار العملات ، أخبار الرياضة ، أخبار مصر، أخبار اقتصاد ، أخبار المحافظات ، أخبار السياسة، ويقوم فريقنا بمتابعة حصرية لجميع الدوريات العالمية مثل الدوري الإنجليزي ، الدوري الإيطالي ، الدوري المصري، كأس مصر , دوري القسم الثاني , دوري أبطال أوروبا ، دوري أبطال أفريقيا ، دوري أبطال آسيا ، والأحداث الهامة و السياسة الخارجية والداخلية بالإضافة للنقل الحصري لـ أخبار الفن والعديد من الأنشطة الثقافية والأدبية.
