اكتشف باحثو كاسبرسكي الشهر الماضى وظيفة جديدة لأداة تغيير نظام أسماء النطاقات (DNS Changer) المستخدمة في حملة Roaming Mantis التخريبية. ويستطيع مجرمو الإنترنت، بموجب الوظيفة الجديدة المكتشفة،
استخدام أجهزة التوجيه (الراوتر) في شبكات الإنترنت اللاسلكية (Wi-Fi) المخترقة في المقاهي والفنادق والمطارات والأماكن العامة الأخرى لإصابة المزيد من الهواتف الذكية التي تعمل بنظام أندرويد Android ببرمجية Wroba.o الخبيثة.
وتستهدف التقنية الجديدة في الوقت الراهن المستخدمين في كوريا الجنوبية، ولكن بالإمكان استخدامها قريباً في بلدان أخرى.
وتعد حملة Roaming Mantis (المعروفة أيضاً باسم Shaoye) حملة تخريبية يقودها مجرمو الإنترنت، رصدتها كاسبرسكي لأول مرة في عام 2018. وتستخدم ملفات خبيثة من نوع “حزمة تطبيق أندرويد” APK للتحكّم في الأجهزة المصابة وسرقة المعلومات منها، كما تتمتع بقدرات التصيّد على أجهزة iOS وقدرات تعدين العملات الرقمية على أجهزة الحاسوب الشخصية. ويدلّ اسم الحملة على انتشارها في الهواتف الذكية التي تتجول بين شبكات “واي فاي”، والتي يُحتمل أن تنقل الإصابة وتنشرها إلى غيرها من الأجهزة.
واكتشف الخبراء أن Roaming Mantis قد أدخلت حديثاً وظيفة جديدة على DNS Changer في Wroba.o (المعروف أيضاً بالأسماء Agent.eq وMoqhao وXLoader)، وهو البرمجية الخبيثة التي استُخدمت لأول مرّة في الحملة. ويُعدّ DNS Changer برمجية خبيثة توجّه الجهاز المتصل بجهاز الراوتر المخترَق إلى خادم يقع تحت سيطرة مجرمي الإنترنت، بدلاً من خادم DNS الأصلي. وعندما يصل جهاز الضحية إلى الصفحة المقصودة، يُطلب من الضحية المحتملة تنزيل برمجية خبيثة يمكنها التحكّم في الجهاز أو سرقة بيانات اعتماد الدخول إلى حسابات مستخدمه.
وينحصر استهداف الجهة التخريبية الكامنة وراء Roaming Mantis، في الوقت الحالي، على أجهزة الراوتر الموجودة في كوريا الجنوبية، والتي تصنعها شركة كورية معروفة مختصة بالأجهزة الشبكية. وتحصل وظيفة DNS Changer الجديدة على عنوان IP الخاص بالراوتر وتتحقق من طرازه لتمييزه عن غيره من الطرز، وضمان اختراق أجهزة الطراز المستهدف فقط عن طريق الكتابة فوق إعدادات DNS. ولاحظت كاسبرسكي في ديسمبر 2022، حدوث 508 عمليات تنزيل لحُزم APK خبيثة في كوريا الجنوبية.
وكشف تحقيق في الصفحات الخبيثة المقصودة عن أن المهاجمين يستهدفون أيضاً مناطق أخرى باستخدام الرسائل النصية القصيرة بدلاً من DNS Changer. ويستخدم هذا الأسلوب الرسائل النصية لنشر الروابط الخبيثة التي توجّه الضحية إلى الموقع المراد لتنزيل البرمجية الخبيثة على الجهاز أو سرقة معلومات المستخدم عبر أحد مواقع التصيّد.
ووفقاً لإحصائيات الشبكة الأمنية (KSN)، التي غطّت المدة بين سبتمبر وديسمبر 2022، فقد حدث أعلى معدّل لاكتشاف برمجية Wroba.o الخبيثة (Trojan-Dropper.AndroidOS.Wroba.o) في فرنسا (54.4%) واليابان (12.1%) والولايات المتحدة (10.1%).
وأوضح سوغورو إيشيمارو الباحث الأمني الأول أن اتصال هاتف ذكي مصاب بأجهزة راوتر سليمة في شبكات الإنترنت العامة في المقاهي أو الفنادق أو مراكز التسوق أو المطارات، أو حتى المنازل، يسمح لبرمجية Wroba.o الخبيثة باختراق أجهزة الراوتر تلك والتأثير في الأجهزة الأخرى المتصلة بالشبكة. وقال: “يمكن لوظيفة DNS Changer الجديدة إدارة جميع اتصالات الجهاز باستخدام الراوتر المخترق، مثل إعادة التوجيه إلى الأجهزة المضيفة الخبيثة وحتى تعطيل التحديثات في المنتجات الأمنية، لذلك يُعدّ هذا الاكتشاف مهماً للأمن الرقمي لأجهزة أندرويد، نظراً لكونه قادراً على الانتشار الواسع في المناطق المستهدفة”.
