พบการ Hijack DNS ของเร้าเตอร์เพื่อ Redirect ผู้ใช้ไปยังเพจที่มีมัลแวร์ Android

พบการโจมตีโดยใช้วิธี Hijack DNS บนเร้าเตอร์ที่มีช่องโหว่เพื่อ Redirect ผู้ใช้ไปยังหน้าเพจที่มีมัลแวร์ของ Android จนถึงตอนนี้นักวิจัยยังไม่ทราบว่าแฮ็กเกอร์ใช้วิธีไหนเข้าถึงเร้าเตอร์ตามบ้านเพื่อไปเปลี่ยนแปลง DNS ได้ อย่างไรก็ตามนักวิจัยได้เก็บตัวอย่างของมัลแวร์ที่ชื่อ Roaming Mantis มาศึกษาถึงวิธีการทำงานด้วยเช่นกัน

Kaspersky Lab พบว่ามีการ Hijack ทราฟฟิคเกิดขึ้นประมาณ 150 ไอพีซึ่งมีการ Redirect ผู้ใช้งานไปยังหน้าเพจอันตรายกว่า 6 พันครั้งระหว่าง 9 กุมภาพันธ์ ถึง 9 เมษายนที่ผ่านมา โดยแฮ็กเกอร์จะ Redirect ผู้ใช้ไปยังหน้าเพจเลียนแบบของแอปพลิเคชัน Android เช่น Google Chrome และ Facebook เป็นต้น นอกจากนี้เว็บไซต์ที่ตั้งแอปพลิเคชันปลอมและตัวแอปพลิเคชันเองสามารถรองรับภาษาได้ 5 ภาษาคือ เกาหลี ญี่ปุ่น อังกฤษ ตัวอักษรจีนแบบดั้งเดิมและแบบย่อ

จากการศึกษาตัวอย่างมัลแวร์ Roaming Mantis ซึ่งเป็นแอปพลิเคชันที่มุ่งเน้นเพื่อขโมยข้อมูลโดยไม่พบโค้ดที่ทำการขโมยเงินของผู้ใช้งานออกจากบัญชี แม้ว่ามันจะเจาะจงไปยังแอปพลิเคชัน เช่น เกมยอดนิยมและธนาคาร จากผู้ใช้งานในหลายประเทศ เช่น เกาหลีใต้ อินเดีย ญี่ปุ่น บังคลาเทศ อย่างไรก็ตาม Credential ที่ถูกขโมยไปอาจถูกใช้ปฏิบัตการหลอกลวงอื่นๆ ต่อไป ที่น่าสังเกตคือวิธีการแพร่พันธุ์มัลแวร์โดยการเข้าถึงเร้าเตอร์เพื่อ Hijack DNS ถือเป็นวิธีการใหม่สำหรับการโจมตีผสมผสานกับมัลแวร์ Android ดังนั้นแนะนำว่าควรอัปเดตแพตช์เร้าเตอร์อย่างสม่ำเสมอนะครับ