Spoofing DNS używany do infekowania urządzeń z Androidem

Eksperci z firmy Trend Micro poinformowali o nowej fali ataków wykorzystujących spoofing DNS, czyli modyfikację serwera nazw w celu przekierowania ruchu z konkretnych domen na adres IP kontrolowany przez przestępców. Nieświadomym podstępu ofiarom, które używają urządzeń z Androidem, wyświetlany jest komunikat o potrzebie zaktualizowania takich aplikacji jak Chrome czy Facebook. Atakujący używają tej techniki w celu dystrybucji złośliwego oprogramowania wykrywanego jako XLoader. Jego podstawową funkcją jest gromadzenie danych uwierzytelniających do różnych usług przy użyciu fałszywych ekranów logowania. Szczególnym zainteresowaniem przestępców cieszą się aplikacje bankowe i zainstalowane na urządzeniu gry. Według badaczy XLoader potrafi zastępować legalne wersje oprogramowania wersjami złośliwymi. Ma ponadto możliwość przechwytywania SMS-ów i nagrywania rozmów telefonicznych. Jest to zagrożenie wielomodułowe, które może odbierać i wykonywać polecenia ze zdalnego serwera sterującego a eksperci przewidują jego dalszy rozwój.

Ryzyko średnie: Złośliwe aplikacje dla Androida stanowią realne zagrożenie dla bezpieczeństwa środków klientów bankowości internetowej, ale omawiane zagrożenie na razie zaobserwowano tylko w krajach azjatyckich, m.in. w Korei Południowej.

Działania długoterminowe: Analiza metod działania atakujących i weryfikacja procedur wykrywania rozpowszechnianego przez nich zagrożenia. Wzmocnienie ochrony sprzętu sieciowego.

Źródło: https://blog.trendmicro.com/trendlabs-security-intelligence/xloader-android-spyware-and-banking-trojan-distributed-via-dns-spoofing/