أفاد باحثو كاسبرسكي في يناير 2023 باكتشافهم وظيفة جديدة لأداة تغيير نظام أسماء النطاقات (Changer DNS) المستخدمة في حملة Roaming Mantis التخريبية. يستطيع مجرمو الإنترنت، بموجب الوظيفة الجديدة المكتشفة، استخدام أجهزة التوجيه (الراوتر) في شبكات الإنترنت اللاسلكية (Wi-Fi) المخترقة في المقاهي والفنادق والمطارات والأماكن العامة الأخرى لإصابة المزيد من الهواتف الذكية التي تعمل بنظام أندرويد Android ببرمجية Wroba.o الخبيثة. وتستهدف التقنية الجديدة في الوقت الراهن المستخدمين في كوريا الجنوبية، ولكن بالإمكان استخدامها قريباً في بلدان أخرى.

وتعد حملة Roaming Mantis (المعروفة أيضاً باسم Shaoye) حملة تخريبية يقودها مجرمو الإنترنت، رصدتها كاسبرسكي لأول مرة في عام 2018. وتستخدم ملفات خبيثة من نوع "حزمة تطبيق أندرويد" APK للتحكّم في الأجهزة المصابة وسرقة المعلومات منها، كما تتمتع بقدرات التصيّد على أجهزة iOS وقدرات تعدين العملات الرقمية على أجهزة الحاسوب الشخصية. ويدلّ اسم الحملة على انتشارها في الهواتف الذكية التي تتجول بين شبكات "واي فاي"، والتي يُحتمل أن تنقل الإصابة وتنشرها إلى غيرها من الأجهزة.

وظيفة جديدة لـ DNS Changer تمكنها من مهاجمة مزيد من المستخدمين عبر أجهزة الراوتر

اكتشف خبراء كاسبرسكي أن Roaming Mantis قد أدخلت حديثاً وظيفة جديدة على DNS Changer في Wroba.o (المعروف أيضاً بالأسماء Agent.eq وMoqhao وXLoader)، وهو البرمجية الخبيثة التي استُخدمت لأول مرّة في الحملة. ويُعدّ DNS Changer برمجية خبيثة توجّه الجهاز المتصل بجهاز الراوتر المخترَق إلى خادم يقع تحت سيطرة مجرمي الإنترنت، بدلاً من خادم DNS الأصلي. وعندما يصل جهاز الضحية إلى الصفحة المقصودة، يُطلب من الضحية المحتملة تنزيل برمجية خبيثة يمكنها التحكّم في الجهاز أو سرقة بيانات اعتماد الدخول إلى حسابات مستخدمه.

وينحصر استهداف الجهة التخريبية الكامنة وراء Roaming Mantis، في الوقت الحالي، على أجهزة الراوتر الموجودة في كوريا الجنوبية، والتي تصنعها شركة كورية معروفة مختصة بالأجهزة الشبكية. وتحصل وظيفة DNS Changer الجديدة على عنوان IP الخاص بالراوتر وتتحقق من طرازه لتمييزه عن غيره من الطرز، وضمان اختراق أجهزة الطراز المستهدف فقط عن طريق الكتابة فوق إعدادات DNS. ولاحظت كاسبرسكي في ديسمبر 2022، حدوث 508 عمليات تنزيل لحُزم APK خبيثة في كوريا الجنوبية.

وكشف تحقيق في الصفحات الخبيثة المقصودة عن أن المهاجمين يستهدفون أيضاً مناطق أخرى باستخدام الرسائل النصية القصيرة بدلاً من DNS Changer. ويستخدم هذا الأسلوب الرسائل النصية لنشر الروابط الخبيثة التي توجّه الضحية إلى الموقع المراد لتنزيل البرمجية الخبيثة على الجهاز أو سرقة معلومات المستخدم عبر أحد مواقع التصيّد.

ووفقاً لإحصائيات شبكة كاسبرسكي الأمنية Kaspersky Security Network (KSN)، التي غطّت المدة بين سبتمبر وديسمبر 2022، فقد حدث أعلى معدّل لاكتشاف برمجية Wroba.o الخبيثة (Trojan-Dropper.AndroidOS.Wroba.o) في فرنسا (54.4%) واليابان (12.1%) والولايات المتحدة (10.1%).

وأوضح سوغورو إيشيمارو الباحث الأمني الأول لدى كاسبرسكي، أن اتصال هاتف ذكي مصاب بأجهزة راوتر سليمة في شبكات الإنترنت العامة في المقاهي أو الفنادق أو مراكز التسوق أو المطارات، أو حتى المنازل، يسمح لبرمجية Wroba.o الخبيثة باختراق أجهزة الراوتر تلك والتأثير في الأجهزة الأخرى المتصلة بالشبكة. وقال: "يمكن لوظيفة DNS Changer الجديدة إدارة جميع اتصالات الجهاز باستخدام الراوتر المخترق، مثل إعادة التوجيه إلى الأجهزة المضيفة الخبيثة وحتى تعطيل التحديثات في المنتجات الأمنية، لذلك يُعدّ هذا الاكتشاف مهماً للأمن الرقمي لأجهزة أندرويد، نظراً لكونه قادراً على الانتشار الواسع في المناطق المستهدفة".

ويوصي باحثو كاسبرسكي باتباع التدابير التالية لحماية الاتصال بالإنترنت من هذه الإصابة:

· مراجعة دليل الاستخدام الخاصة بجهاز الراوتر للتحقق من أنه لم يتمّ العبث بإعدادات DNS، أو الاتصال بمقدّم خدمة الإنترنت للحصول على الدعم.

· تغيير تسجيل الدخول وكلمة المرور الافتراضيين للراوتر عبر الويب، وتحديث برمجياته الثابتة بانتظام من المصدر الرسمي.

· الامتناع عن تثبيت البرمجيات الثابتة للراوتر من مصادر خارجية، وتجنُب استخدام مستودعات خارجية لأجهزة أندرويد.

· التحقُق دائماً من عناوين المتصفح والموقع الإلكتروني للتأكّد من أصالتها، بالبحث عن علامات مثل https، عند طلب إدخال البيانات في صفحة ما.

· الحرص على تثبيت حل أمني خاص بالأجهزة المحمولة، لحمايتها من هذه التهديدات وغيرها.