网络犯罪分子劫持路由器DNS以传播Android Banking特洛伊木马

为了诱骗受害者安装安卓恶意软件漫游螳螂，黑客在易受攻击且安全性差的路由器上劫持DNS设置。

DNS劫持攻击允许黑客拦截流量，在网页上插入恶意广告，并将用户重定向到旨在欺骗他们共享其敏感信息（如登录凭据、银行帐户详细信息等）的钓鱼页面。
出于恶意目的劫持路由器的DNS并不是什么新鲜事。之前我们报道了广泛分布的Dnshanger和Switcher，这两个恶意软件都通过更改无线路由器的DNS设置来将流量重定向到攻击者控制的恶意网站。

卡巴斯基实验室的安全研究人员发现，自今年2月以来，新的恶意软件活动主要针对亚洲国家的用户，包括韩国、中国、孟加拉国和日本。

一旦修改，黑客配置的恶意DNS设置会将受害者重定向到他们试图访问的合法网站的假版本，并显示一条弹出警告消息，上面写着，“为了更好地体验浏览，请更新至最新的chrome版本”。
然后下载伪装成Android浏览器应用的漫游螳螂恶意软件应用，该应用需要获得收集设备帐户信息、管理SMS/MMS和通话、录制音频、控制外部存储、检查软件包、使用文件系统、绘制覆盖窗口等权限。

“重定向导致安装了名为facebook.apk和chrome.apk的特洛伊木马应用程序，其中包含Android特洛伊木马银行家”。

如果安装了恶意应用程序，该应用程序会立即覆盖所有其他窗口，显示一条虚假警告消息（英文破译），上面写着：“账号存在风险，请在认证后使用”。

漫游螳螂随后启动设备上的本地网络服务器，并启动网络浏览器，打开谷歌网站的假版本，要求用户填写姓名和出生日期。
为了说服用户相信他们是在把这些信息交给谷歌自己，这个假页面显示了用户在被感染的Android设备上配置的Gmail电子邮件ID，如屏幕截图所示。

“在用户输入他们的姓名和出生日期后，浏览器会重定向到以下位置的空白页：https://127.0.0.1:${random_port}/submit，”研究人员说与分发页面一样，该恶意软件支持四个地区：韩语、繁体中文、日语和英语"。

由于漫游螳螂恶意软件应用程序已经获得在该设备上读写短信的权限，攻击者可以通过该应用程序窃取受害者账户双因素身份验证的秘密验证码。
在分析恶意软件代码时，研究人员发现了韩国流行的手机银行和游戏应用程序，以及一个试图检测受感染设备是否已被根除的功能。

研究人员说：“对于攻击者来说，这可能意味着一个设备属于高级安卓用户（停止干扰该设备的信号），或者有机会利用root访问来访问整个系统”。

这个恶意软件的有趣之处在于，它使用中国领先的社交媒体网站之一（my.tv.sohu.com）作为其命令和控制服务器，只需更新攻击者控制的用户配置文件，即可向受感染的设备发送命令。
根据卡巴斯基的遥测数据，漫游的螳螂恶意软件被检测到6000多次，尽管报告来自150个独特的用户。

建议您确保路由器运行最新版本的固件，并使用强密码进行保护。

您还应该禁用路由器的远程管理功能，并将受信任的DNS服务器硬编码到操作系统网络设置中。