اكتشف الباحثون في شركة "كاسبرسكي لاب" نوعًا جديدًا من البرامج الضارة التي تنتشر عبر تقنية اختراق أسماء النطاقات ، هدفها الرئيسي هو الهواتف الذكية في آسيا ، ويطلق على هذا الهجوم اسم "التجوال السرعوف" ولا يزال نشطًا للغاية. الغرض من الهجوم هو سرقة معلومات المستخدم ، بما في ذلك بيانات الاعتماد ، حتى يتمكن المهاجم من السيطرة الكاملة على أجهزة Android المصابة.وفي الفترة من فبراير إلى أبريل 2018 ، اكتشف الباحثون هذه البرامج الضارة في أكثر من 150 شبكة مستخدم. والضحايا الرئيسيون هم في كوريا الجنوبية وبنغلادش واليابان ، وقد يكون الضحايا أكثر من ذلك ، ويعتقد الباحثون أنه يجب أن تكون هناك منظمة للجرائم الإلكترونية وراء الهجوم ، ويجب أن يكون هدفها تحقيق ربح.
وقال فيتالي كاملوك ، المدير الإقليمي لآسيا والمحيط الهادئ في فريق البحث والتحليل العالمي في شركة "كاسبرسكي لاب": "ذكرت وسائل الإعلام اليابانية في الآونة الأخيرة هذا الهجوم ، ولكن بعد إجراء بعض الأبحاث ، وجدنا أن هذا التهديد لم ينشأ من اليابان: في الواقع ، وجدنا العديد من الأدلة التي تشير إلى أن المهاجم الذي يقف وراء هذا التهديد يتحدث اللغة الصينية أو الكورية ، ليس فقط أن معظم الضحايا ليسوا في اليابان ، بل يبدو أن التجوال السرعوف يستهدف بشكل أساسي المستخدمين الكوريين ، الضحايا اليابانيين. يبدو أن هناك نوع من الأضرار الجانبية.
تظهر النتائج كاسبرسكي لاب أن المهاجمين الخبيثة وراء جهاز التوجيه للعثور عرضة للهجوم من قبل وسيلة بسيطة جدا ولكنها فعالة لاختطاف إعدادات جهاز التوجيه DNS المصابة من انتشار الغزو المهاجم البرمجيات الخبيثة طريقة التوجيه لا يزال مجهولا. وبمجرد DNS وبنجاح خطف مستخدم الوصول إلى أي سلوك الموقع وسوف يبدو للإشارة إلى عنوان URL الحقيقي، ومحتويات والتي هي مزورة، ومن خادم المهاجم. وسوف تتطلب هذه العناوين المستخدمين من أجل الحصول على أفضل تجربة التصفح، الرجاء الترقية إلى الإصدار الأحدث من كروم ". النقر على الرابط ستطلق تطبيق ليكون مزروع يتم تثبيت طروادة، وعادة ما تسمى هذه التطبيقات مصابون" facebook.apk 'أو' chrome.apk "، الذي يحتوي على برنامج مستتر الروبوت الروبوت.
والتجوال فرس النبي البرامج الضارة يتحقق الجهاز هو الجذر، وطلب الإذن لعرض أي بلاغ أو إخطار بشأن الأنشطة التي يقوم بها المستخدم، كما يمكن أيضا جمع مجموعة متنوعة من البيانات، بما في ذلك أوراق اعتماد المصادقة من خطوتين. ووجد الباحثون أن بعض التعليمات البرمجية الخبيثة المشار إليها يتم الجمع بين معرّفات تطبيقات الخدمات المصرفية والألعاب المتنقلة الشائعة في كوريا ، وتشير هذه العلامات إلى أن الغرض من هذا الهجوم قد يكون الحصول على منافع اقتصادية.
كاسبرسكي لاب الكشف عن بيانات تبين أن نحو 150 هدفا، وجدت المزيد من التحليل أيضا أن المتوسط اليومي لآلاف الاتصالات إلى الأمر المهاجم وخادم السيطرة (C2)، مشيرا إلى أن حجم الهجوم يجب أن يكون أكبر.
تصميم التجوال فرس النبي البرامج الضارة يدل على أنه لأن تنتشر على نطاق واسع في آسيا. وبالإضافة إلى ذلك، فإنه يدعم أربع لغات هي الكورية والصينية المبسطة واليابانية والإنجليزية. ومع ذلك، فإن الأدلة التي جمعناها تبين أن الهجوم خلف الكواليس أكثر التهديدات تطورا هي الكورية والصينية المبسطة.
الباحث الأمني في اليابان سوجورو Ishimaru قال كاسبرسكي لاب: "التجوال فرس النبي هو التهديد ديناميكية وسريعة التغير نشرنا الآن اكتشاف ذات الصلة، ولكن لم تنتظر أن تجد كل الأجوبة بعد يبدو أن الإفراج عن هذا الهجوم أن يكون تماما. الحافز الاكبر، ونحن بحاجة إلى زيادة وعي المستخدمين، حتى أن الناس والشركات أكثر قدرة على تحديد هذا التهديد. الهجوم وسيلة لاستخدام اختطاف توجيه DNS المصابين، وتبين وسيلة قوية لحماية وتأمين وصلات الضرورة
اكتشفت منتجات كاسبرسكي لاب هذا التهديد باسم "Trojan-Banker.AndroidOS.Wroba".
لحماية اتصال الإنترنت الخاص بك من الإصابة ، توصي Kaspersky Lab بالإجراءات التالية:
● ارجع إلى إرشادات الموجه للاستخدام ، وتأكد من عدم تغيير إعدادات DNS ، أو اتصل بمزود خدمة الإنترنت (ISP) للحصول على الدعم.
● غيّر اسم تسجيل الدخول وكلمة المرور االفتراضيين لواجهة إدارة جهاز التوجيه.
● لا تقم بتثبيت البرامج الثابتة لجهاز التوجيه من مصدر جهة خارجية. لا تستخدم مصادر برامج تابعة لجهة خارجية لجهاز Android الخاص بك.
● ﻗم ﺑﺗرﻗﯾﺔ اﻟﺑرﻧﺎﻣﺞ اﻟﺛﺎﺑت ﻟﺟﮭﺎز اﻟرﺑط ﺑﺷﮐل ﻣﻧﺗظم ﻣن اﻟﻣوﺟﮫ اﻟرﺳﻣﻲ.
وجد الباحثون كاسبرسكي لاب أن واحدا من أحدث من نظام اسم المجال (DNS) اختطاف تقنيات نشر البرمجيات الخبيثة الروبوت، والهدف الرئيسي للهواتف الذكية في آسيا. ومثل هذه الهجمات تسمى التجوال فرس النبي، لا يزال نشطة للغاية، فإنه يهاجم الغرض من ذلك هو سرقة معلومات المستخدم، بما في ذلك الوثائق، بما في ذلك، والسماح للسيطرة المهاجم كاملة من أجهزة الروبوت المصابة. خلال فبراير 2018 إلى أبريل، كشف الباحثون أكثر من 150 المستخدمين على الشبكة التي يقع الضحايا الرئيسيون في كوريا الجنوبية وبنغلادش واليابان ، وقد يكون الضحايا أكثر ، ويعتقد الباحثون أنه يجب أن تكون هناك منظمة للجرائم الإلكترونية وراء الهجوم ، ويجب أن يكون هدفها تحقيق ربح.
وقال فيتالي Kamluk كاسبرسكي لاب العالمي للبحث والتحليل فريق، آسيا والمحيط الهادئ (جيد جدا): "وذكرت وسائل الاعلام اليابانية مؤخرا الهجوم، ولكن وجدت قليلا بعد أن قمت ببعض البحوث، وهذا التهديد لم تنشأ من اليابان. في الواقع، وجدنا عدة أدلة تشير إلى أن هذا التهديد وراء المهاجمين ويقول هو الصينية أو الكورية. ليس ذلك فحسب، ومعظم الضحايا ليسوا في اليابان. التجوال فرس النبي على ما يبدو في المقام الأول للمستخدمين في كوريا الجنوبية واليابان ضحايا يبدو أن هناك نوع من الأضرار الجانبية.
تظهر النتائج كاسبرسكي لاب أن المهاجمين الخبيثة وراء جهاز التوجيه للعثور عرضة للهجوم من قبل وسيلة بسيطة جدا ولكنها فعالة لاختطاف إعدادات جهاز التوجيه DNS المصابة من انتشار الغزو المهاجم البرمجيات الخبيثة طريقة التوجيه لا يزال مجهولا. وبمجرد DNS وبنجاح خطف مستخدم الوصول إلى أي سلوك الموقع وسوف يبدو للإشارة إلى عنوان URL الحقيقي، ومحتويات والتي هي مزورة، ومن خادم المهاجم. وسوف تتطلب هذه العناوين المستخدمين من أجل الحصول على أفضل تجربة التصفح، الرجاء الترقية إلى الإصدار الأحدث من كروم ". النقر على الرابط ستطلق تطبيق ليكون مزروع يتم تثبيت طروادة، وعادة ما تسمى هذه التطبيقات مصابون" facebook.apk 'أو' chrome.apk "، الذي يحتوي على برنامج مستتر الروبوت الروبوت.
والتجوال فرس النبي البرامج الضارة يتحقق الجهاز هو الجذر، وطلب الإذن لعرض أي بلاغ أو إخطار بشأن الأنشطة التي يقوم بها المستخدم، كما يمكن أيضا جمع مجموعة متنوعة من البيانات، بما في ذلك أوراق اعتماد المصادقة من خطوتين. ووجد الباحثون أن بعض التعليمات البرمجية الخبيثة المشار إليها كوريا ID المصرفية وتطبيق الألعاب المتنقلة المشترك. مجتمعة، وهذه هي علامات على أن الغرض من هذا الهجوم قد يكون الحصول على منافع اقتصادية.
كاسبرسكي لاب الكشف عن بيانات تبين أن نحو 150 هدفا، وجدت المزيد من التحليل أيضا أن المتوسط اليومي لآلاف الاتصالات إلى الأمر المهاجم وخادم السيطرة (C2)، مشيرا إلى أن حجم الهجوم يجب أن يكون أكبر.
لقد أظهر تصميم برنامج التجوال Mantis Malware أنه يُقصد توزيعه على نطاق واسع في آسيا ، بالإضافة إلى دعمه لأربع لغات ، وهي الكورية والصينية المبسطة واليابانية والإنجليزية ، لكن الأدلة التي جمعناها تظهر أن هذا الهجوم وراء الكواليس. أكثر التهديدات تطورا هي الكورية والصينية المبسطة.
وقال Sauguru Ishimaru ، وهو باحث أمن ياباني في شركة "كاسبرسكي لاب": "إن التجول السريع هو التهديد النشط والمتغير بسرعة. لذلك ننشر الآن النتائج ذات الصلة دون انتظار حتى نجد كل الإجابات. يبدو هذا الهجوم مع وجود دافع كبير ، نحتاج إلى زيادة وعي المستخدم وتسهيل الأمر على الأفراد والشركات للتعرف على هذا التهديد ، ويستخدم هذا الهجوم أجهزة التوجيه المصابة بالعدوى ووسائل اختطاف DNS ، مما يشير إلى حماية قوية للجهاز واتصال آمن. الضرورة
اكتشفت منتجات كاسبرسكي لاب هذا التهديد باسم "Trojan-Banker.AndroidOS.Wroba".
لحماية اتصال الإنترنت الخاص بك من الإصابة ، توصي Kaspersky Lab بالإجراءات التالية:
● ارجع إلى إرشادات الموجه للاستخدام ، وتأكد من عدم تغيير إعدادات DNS ، أو اتصل بمزود خدمة الإنترنت (ISP) للحصول على الدعم.
● غيّر اسم تسجيل الدخول وكلمة المرور االفتراضيين لواجهة إدارة جهاز التوجيه.
● لا تقم بتثبيت البرامج الثابتة لجهاز التوجيه من مصدر جهة خارجية. لا تستخدم مصادر برامج تابعة لجهة خارجية لجهاز Android الخاص بك.
● ﻗم ﺑﺗرﻗﯾﺔ اﻟﺑرﻧﺎﻣﺞ اﻟﺛﺎﺑت ﻟﺟﮭﺎز اﻟرﺑط ﺑﺷﮐل ﻣﻧﺗظم ﻣن اﻟﻣوﺟﮫ اﻟرﺳﻣﻲ.