นักวิจัย Kaspersky Lab ได้ค้นพบหักหลังระบบชื่อโดเมนใหม่โดย Android เทคนิคการขยายพันธุ์มัลแวร์เป็นเป้าหมายหลักสำหรับโทรศัพท์สมาร์ทในเอเชีย. การโจมตีดังกล่าวเรียกว่า Roaming ตั๊กแตนตำข้าวยังคงใช้งานมาก จุดประสงค์ของมันคือการโจมตีที่จะขโมยข้อมูลของผู้ใช้รวมทั้งเอกสารรวมทั้งช่วยให้ผู้บุกรุกควบคุมที่สมบูรณ์ของอุปกรณ์ Android ที่ติดเชื้อ. ในช่วงกุมภาพันธ์ 2018 ถึงเดือนเมษายนนักวิจัยตรวจพบมัลแวร์ในกว่า 150 ผู้ใช้บนเครือข่าย ผู้ที่ตกเป็นเหยื่อหลักในเกาหลีใต้, บังคลาเทศและญี่ปุ่นและผู้ที่ตกเป็นเหยื่ออาจจะมากกว่า. นักวิจัยเชื่อว่าอยู่เบื้องหลังการโจมตีนี้ควรมีองค์กรอาชญากรรมที่มีเป้าหมายควรจะเป็นสำหรับกำไร
Vitaly Kamluk Kaspersky Lab งานวิจัยระดับโลกและทีมวิเคราะห์เอเชียแปซิฟิก (ที่ดี) กล่าวว่า: 'สื่อญี่ปุ่นรายงานเมื่อเร็วโจมตี แต่พบเพียงเล็กน้อยหลังจากที่เราได้บางวิจัยภัยคุกคามนี้ไม่ได้มาจาก ญี่ปุ่น. ในความเป็นจริงเราพบเบาะแสหลายแสดงให้เห็นว่าภัยคุกคามนี้อยู่เบื้องหลังการโจมตีพูดเป็นภาษาจีนหรือเกาหลี. ไม่เพียง แต่ที่มากที่สุดของผู้ที่ตกเป็นเหยื่อไม่ได้อยู่ในประเทศญี่ปุ่น. Roaming ตั๊กแตนตำข้าวที่ดูเหมือนจะเป็นส่วนใหญ่สำหรับผู้ใช้ในเกาหลีใต้, ญี่ปุ่นผู้ที่ตกเป็นเหยื่อ มันน่าจะเป็นชนิดของอันตรายที่เกิดขึ้นบางส่วน
ผลการวิจัยของ Kaspersky Lab แสดงให้เห็นว่าการโจมตีมัลแวร์ที่อยู่เบื้องหลังเราเตอร์เพื่อค้นหาความเสี่ยงที่จะถูกโจมตีจากวิธีที่ง่ายมาก แต่มีประสิทธิภาพของการหักหลังการตั้งค่า DNS เราเตอร์ที่ติดเชื้อการแพร่กระจายของบุกโจมตีมัลแวร์ วิธีการเราเตอร์ยังไม่ทราบ. เมื่อ DNS จะสำเร็จการจี้ให้ผู้ใช้สามารถเข้าถึงพฤติกรรมเว็บไซต์ใด ๆ จะดูเหมือนจะชี้ไปยังที่อยู่ URL ที่จริงเนื้อหาที่มีการปลอมแปลงและจากเซิร์ฟเวอร์ของผู้บุกรุก. ที่อยู่เหล่านี้จะต้องมีผู้ใช้ในการสั่งซื้อที่จะได้รับ ประสบการณ์การท่องเว็บที่ดีกว่าโปรดอัพเกรดเป็นเวอร์ชั่นล่าสุดของ Chrome. คลิกที่ลิงค์จะเปิดตัวแอพลิเคชันที่จะฝังโทรจันมีการติดตั้งโปรแกรมเหล่านี้มีการติดเชื้อมักจะเรียกว่า 'facebook.apk 'หรือ' chrome.apk' ซึ่งประกอบด้วย แอนดรูลับๆของผู้โจมตี
บริการ Roaming ซอฟต์แวร์ที่เป็นอันตรายตั๊กแตนตำข้าวจะตรวจสอบอุปกรณ์ที่เป็นรากและขอสิทธิ์ในการดูการสื่อสารใด ๆ หรือการแจ้งเตือนเกี่ยวกับกิจกรรมที่ดำเนินการโดยผู้ใช้. นอกจากนี้ยังสามารถเก็บรวบรวมความหลากหลายของข้อมูลรวมทั้งสิทธิการตรวจสอบขั้นตอนที่สอง. นักวิจัยพบว่าบางส่วนของรหัสมัลแวร์ที่อ้างถึง เกาหลีธนาคารบนมือถือที่พบบ่อยและการประยุกต์ใช้ในการเล่นเกม ID. ที่ร่วมกันเหล่านี้เป็นสัญญาณว่าจุดประสงค์ของการโจมตีครั้งนี้อาจจะเป็นที่จะได้รับผลประโยชน์ทางเศรษฐกิจ
Kaspersky Lab ตรวจพบข้อมูลพบว่ามีประมาณ 150 เป้าหมายการวิเคราะห์ต่อไปนอกจากนี้ยังพบว่าเฉลี่ยรายวันของหลายพันของการเชื่อมต่อกับคำสั่งโจมตีและการควบคุม (C2) เซิร์ฟเวอร์แสดงให้เห็นว่าขนาดของการโจมตีที่ควรจะมีขนาดใหญ่
ออกแบบ Roaming มัลแวร์ตั๊กแตนตำข้าวแสดงให้เห็นว่ามันเป็นสิ่งที่จะแพร่กระจายอย่างกว้างขวางในเอเชีย. นอกจากนี้ยังสนับสนุนสี่ภาษาคือเกาหลี, จีน, ญี่ปุ่นและภาษาอังกฤษ. แสดงอย่างไรก็ตามหลักฐานที่เราได้รวบรวมว่าการโจมตีอยู่เบื้องหลัง ภัยคุกคามที่มีความเชี่ยวชาญมากที่สุดคือเกาหลีและจีน
Kaspersky Lab วิจัยด้านความปลอดภัยที่ประเทศญี่ปุ่น Suguru Ishimaru กล่าวว่า Roaming ตั๊กแตนตำข้าวเป็นภัยคุกคามแบบไดนามิกและการเปลี่ยนแปลงอย่างรวดเร็วตอนนี้เราตีพิมพ์การค้นพบที่เกี่ยวข้อง แต่ไม่ได้รอที่จะได้พบกับคำตอบทั้งหมดหลังจากการเปิดตัวของการโจมตีครั้งนี้ดูเหมือนว่าจะมีค่อนข้าง แรงจูงใจใหญ่เราจำเป็นต้องเพิ่มการรับรู้ของผู้ใช้เพื่อให้ผู้คนและธุรกิจจะดีขึ้นสามารถที่จะระบุภัยคุกคาม. การโจมตีและวิธีการที่จะใช้หักหลังเราเตอร์ของ DNS ติดเชื้อแสดงอุปกรณ์ที่มีประสิทธิภาพในการป้องกันและเชื่อมต่อที่ปลอดภัย ความจำเป็น '
ผลิตภัณฑ์ของ Kaspersky Lab ตรวจพบภัยคุกคามนี้ว่า "Trojan-Banker.AndroidOS.Wroba"
เพื่อป้องกันการเชื่อมต่ออินเทอร์เน็ตของคุณจากการติดเชื้อ Kaspersky Lab แนะนำมาตรการดังต่อไปนี้:
●ดูคำแนะนำสำหรับเราเตอร์ของคุณให้แน่ใจว่าการตั้งค่า DNS ของคุณยังไม่ได้รับการเปลี่ยนแปลงหรือติดต่อผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ให้การสนับสนุน
●เปลี่ยนชื่อล็อกอินและรหัสผ่านเริ่มต้นของอินเทอร์เฟซการจัดการเราเตอร์
●อย่าติดตั้งเฟิร์มแวร์เราเตอร์จากแหล่งที่มาของบุคคลที่สามอย่าใช้แหล่งซอฟต์แวร์ของบุคคลที่สามสำหรับอุปกรณ์แอนดรอยด์ของคุณ
●อัปเกรดเฟิร์มแวร์ของเราเตอร์จากเราเตอร์อย่างเป็นทางการ
นักวิจัย Kaspersky Lab พบว่าหนึ่งในรุ่นล่าสุดโดยระบบชื่อโดเมน (DNS) หักหลังเทคนิคการขยายพันธุ์มัลแวร์ Android ของเป้าหมายหลักสำหรับโทรศัพท์สมาร์ทในเอเชีย. การโจมตีดังกล่าวเรียกว่า Roaming ตั๊กแตนตำข้าวยังคง ใช้งานมากมันโจมตีมีวัตถุประสงค์เพื่อขโมยข้อมูลของผู้ใช้รวมทั้งเอกสารรวมทั้งช่วยให้ผู้บุกรุกควบคุมที่สมบูรณ์ของอุปกรณ์ Android ที่ติดเชื้อ. ในช่วงกุมภาพันธ์ 2018 ถึงเดือนเมษายนนักวิจัยตรวจพบมากกว่า 150 ผู้ใช้บนเครือข่ายที่ ชนิดของซอฟต์แวร์ที่เป็นอันตรายผู้ที่ตกเป็นเหยื่อหลักในเกาหลีใต้, บังคลาเทศและญี่ปุ่นและผู้ที่ตกเป็นเหยื่ออาจจะมากกว่า. นักวิจัยเชื่อว่าอยู่เบื้องหลังการโจมตีนี้ควรมีองค์กรอาชญากรรมที่มีเป้าหมายควรจะเป็นสำหรับกำไร
Vitaly Kamluk Kaspersky Lab งานวิจัยระดับโลกและทีมวิเคราะห์เอเชียแปซิฟิก (ที่ดี) กล่าวว่า: 'สื่อญี่ปุ่นรายงานเมื่อเร็วโจมตี แต่พบเพียงเล็กน้อยหลังจากที่เราได้บางวิจัยภัยคุกคามนี้ไม่ได้มาจาก ญี่ปุ่น. ในความเป็นจริงเราพบเบาะแสหลายแสดงให้เห็นว่าภัยคุกคามนี้อยู่เบื้องหลังการโจมตีพูดเป็นภาษาจีนหรือเกาหลี. ไม่เพียง แต่ที่มากที่สุดของผู้ที่ตกเป็นเหยื่อไม่ได้อยู่ในประเทศญี่ปุ่น. Roaming ตั๊กแตนตำข้าวที่ดูเหมือนจะเป็นส่วนใหญ่สำหรับผู้ใช้ในเกาหลีใต้, ญี่ปุ่นผู้ที่ตกเป็นเหยื่อ ดูเหมือนว่าจะเป็นความเสียหายหลักประกันบางประเภท
การค้นพบของ Kaspersky Lab ระบุว่าผู้บุกรุกที่อยู่เบื้องหลังมัลแวร์นี้กำลังมองหาเราเตอร์ที่มีช่องโหว่ในการโจมตีและแพร่กระจายมัลแวร์ด้วยวิธีการที่ง่ายและมีประสิทธิภาพในการหักหลังการตั้งค่า DNS ของเราเตอร์ที่ติดไวรัส วิธีการเราเตอร์ยังไม่ทราบ. เมื่อ DNS จะสำเร็จการจี้ให้ผู้ใช้สามารถเข้าถึงพฤติกรรมเว็บไซต์ใด ๆ จะดูเหมือนจะชี้ไปยังที่อยู่ URL ที่จริงเนื้อหาที่มีการปลอมแปลงและจากเซิร์ฟเวอร์ของผู้บุกรุก. ที่อยู่เหล่านี้จะต้องมีผู้ใช้ในการสั่งซื้อที่จะได้รับ ประสบการณ์การท่องเว็บที่ดีกว่าโปรดอัพเกรดเป็นเวอร์ชั่นล่าสุดของ Chrome. คลิกที่ลิงค์จะเปิดตัวแอพลิเคชันที่จะฝังโทรจันมีการติดตั้งโปรแกรมเหล่านี้มีการติดเชื้อมักจะเรียกว่า 'facebook.apk 'หรือ' chrome.apk' ซึ่งประกอบด้วย โปรแกรมลับๆของ Android ของผู้โจมตี
บริการ Roaming ซอฟต์แวร์ที่เป็นอันตรายตั๊กแตนตำข้าวจะตรวจสอบอุปกรณ์ที่เป็นรากและขอสิทธิ์ในการดูการสื่อสารใด ๆ หรือการแจ้งเตือนเกี่ยวกับกิจกรรมที่ดำเนินการโดยผู้ใช้. นอกจากนี้ยังสามารถเก็บรวบรวมความหลากหลายของข้อมูลรวมทั้งสิทธิการตรวจสอบขั้นตอนที่สอง. นักวิจัยพบว่าบางส่วนของรหัสมัลแวร์ที่อ้างถึง รหัสธนาคารการพนันบนมือถือและบัญชีผู้ใช้เกมทั่วไปของเกาหลีรวมอยู่ด้วยเครื่องหมายเหล่านี้แสดงให้เห็นว่าวัตถุประสงค์ของการโจมตีนี้อาจเป็นการได้รับผลประโยชน์ทางเศรษฐกิจ
ข้อมูลการทดสอบของ Kaspersky Lab พบเป้าหมายโจมตีประมาณ 150 เป้าหมายการวิเคราะห์เพิ่มเติมพบว่ามีการเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) หลายพันรายในแต่ละวันโดยระบุว่าขนาดของการโจมตีควรใหญ่ขึ้น
ออกแบบ Roaming มัลแวร์ตั๊กแตนตำข้าวแสดงให้เห็นว่ามันเป็นสิ่งที่จะแพร่กระจายอย่างกว้างขวางในเอเชีย. นอกจากนี้ยังสนับสนุนสี่ภาษาคือเกาหลี, จีน, ญี่ปุ่นและภาษาอังกฤษ. แสดงอย่างไรก็ตามหลักฐานที่เราได้รวบรวมว่าการโจมตีอยู่เบื้องหลัง ผู้ข่มขู่ที่ซับซ้อนที่สุดคือภาษาเกาหลีและจีนตัวย่อ
Kaspersky Lab วิจัยด้านความปลอดภัยที่ประเทศญี่ปุ่น Suguru Ishimaru กล่าวว่า Roaming ตั๊กแตนตำข้าวเป็นภัยคุกคามแบบไดนามิกและการเปลี่ยนแปลงอย่างรวดเร็วตอนนี้เราตีพิมพ์การค้นพบที่เกี่ยวข้อง แต่ไม่ได้รอที่จะได้พบกับคำตอบทั้งหมดหลังจากการเปิดตัวของการโจมตีครั้งนี้ดูเหมือนว่าจะมีค่อนข้าง แรงจูงใจใหญ่เราจำเป็นต้องเพิ่มการรับรู้ของผู้ใช้เพื่อให้ผู้คนและธุรกิจจะดีขึ้นสามารถที่จะระบุภัยคุกคาม. การโจมตีและวิธีการที่จะใช้หักหลังเราเตอร์ของ DNS ติดเชื้อแสดงอุปกรณ์ที่มีประสิทธิภาพในการป้องกันและเชื่อมต่อที่ปลอดภัย ความจำเป็น '
ผลิตภัณฑ์ Kaspersky Lab จะตรวจจับภัยคุกคามนี้เป็น 'Trojan-Banker.AndroidOS.Wroba'
เพื่อป้องกันการเชื่อมต่ออินเทอร์เน็ตของคุณจากการติดเชื้อ Kaspersky Lab แนะนำมาตรการดังต่อไปนี้:
●ดูคำแนะนำสำหรับเราเตอร์ของคุณให้แน่ใจว่าการตั้งค่า DNS ของคุณยังไม่ได้รับการเปลี่ยนแปลงหรือติดต่อผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ให้การสนับสนุน
●เปลี่ยนชื่อล็อกอินและรหัสผ่านเริ่มต้นของอินเทอร์เฟซการจัดการเราเตอร์
●อย่าติดตั้งเฟิร์มแวเราเตอร์จากแหล่งที่มาของบุคคลที่สาม. อย่าใช้แหล่งซอฟต์แวร์บุคคลที่สามสำหรับอุปกรณ์ Android ของคุณ
●อัปเกรดเฟิร์มแวร์ของเราเตอร์จากเราเตอร์อย่างเป็นทางการ