ClickCease Kaspersky signale Wroba.o à Google pour détournement de DNS

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Kaspersky signale Wroba.o à Google pour détournement de DNS

Le 1er février 2023 - L'équipe de relations publiques de TuxCare

Kaspersky a découvert une nouvelle application malveillante connue sous le nom de Wroba.o qui utilise le détournement de DNS pour voler les informations personnelles et financières des victimes. L'application, découverte dans le Google Play Store, se fait passer pour une application légitime et est conçue pour rediriger le trafic vers des sites de phishing ou d'autres domaines malveillants.

L'application aurait été créée par un groupe appelé Roaming Mantis. Le détournement de DNS aurait été conçu pour ne fonctionner que lorsque les appareils visitent la version mobile d'un site Web usurpé, très probablement pour que la campagne ne soit pas détectée.

Le détournement de DNS (Domain Name System) est une technique utilisée par l'application malveillante. Après l'installation, l'application se connecte au routeur et tente de se connecter à son compte administratif en utilisant les informations d'identification par défaut ou couramment utilisées, telles que admin:admin. Si l'application réussit, elle change le serveur DNS en un serveur contrôlé par les attaquants. Les appareils du réseau peuvent alors être dirigés vers des sites imposteurs qui semblent légitimes mais qui diffusent des logiciels malveillants ou enregistrent les informations d'identification des utilisateurs ou d'autres données sensibles.

Le détournement de DNS est une technique par laquelle un attaquant modifie les paramètres du système de nom de domaine (DNS) d'un site web, redirigeant le trafic destiné à un site web légitime vers un site malveillant. Dans le cadre de cette campagne, les pirates compromettent les serveurs DNS et redirigent les victimes vers de fausses pages de connexion ou d'autres sites de phishing conçus pour dérober des informations personnelles et financières.

Selon les chercheurs, les pirates ont particulièrement bien réussi leurs attaques contre les petites et moyennes entreprises ainsi que les particuliers. Pour éviter d'être détectés, ils emploient un certain nombre de stratégies, notamment l'utilisation de plusieurs domaines et adresses IP, ainsi que du trafic crypté pour dissimuler leurs activités.

Selon les chercheurs, l'application malveillante a été téléchargée par un grand nombre d'utilisateurs avant d'être découverte et retirée du Google Play Store. Kaspersky a également signalé l'incident à l'équipe de sécurité de Google et aux autorités compétentes afin qu'elles prennent les mesures appropriées et empêchent la diffusion de l'application.

Les chercheurs déclarent : " Les utilisateurs connectent des appareils Android infectés à des Wi-Fi gratuits/publics dans des endroits tels que des cafés, des bars, des bibliothèques, des hôtels, des centres commerciaux et des aéroports. Lorsqu'il est connecté à un modèle Wi-Fi ciblé avec des paramètres vulnérables, le malware Android compromet le routeur et affecte également d'autres appareils. Par conséquent, il est capable de se propager largement dans les régions ciblées."

Les sources de cette pièce comprennent un article d'ArsTechnica.

Résumé
Kaspersky signale Wroba.o à Google pour détournement de DNS
Nom de l'article
Kaspersky signale Wroba.o à Google pour détournement de DNS
Description
Kaspersky a découvert une nouvelle application malveillante connue sous le nom de Wroba.o qui utilise le détournement de DNS pour voler les informations personnelles et financières des victimes.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information