Kaspersky signale Wroba.o à Google pour détournement de DNS
Kaspersky a découvert une nouvelle application malveillante connue sous le nom de Wroba.o qui utilise le détournement de DNS pour voler les informations personnelles et financières des victimes. L'application, découverte dans le Google Play Store, se fait passer pour une application légitime et est conçue pour rediriger le trafic vers des sites de phishing ou d'autres domaines malveillants.
L'application aurait été créée par un groupe appelé Roaming Mantis. Le détournement de DNS aurait été conçu pour ne fonctionner que lorsque les appareils visitent la version mobile d'un site Web usurpé, très probablement pour que la campagne ne soit pas détectée.
Le détournement de DNS (Domain Name System) est une technique utilisée par l'application malveillante. Après l'installation, l'application se connecte au routeur et tente de se connecter à son compte administratif en utilisant les informations d'identification par défaut ou couramment utilisées, telles que admin:admin. Si l'application réussit, elle change le serveur DNS en un serveur contrôlé par les attaquants. Les appareils du réseau peuvent alors être dirigés vers des sites imposteurs qui semblent légitimes mais qui diffusent des logiciels malveillants ou enregistrent les informations d'identification des utilisateurs ou d'autres données sensibles.
Le détournement de DNS est une technique par laquelle un attaquant modifie les paramètres du système de nom de domaine (DNS) d'un site web, redirigeant le trafic destiné à un site web légitime vers un site malveillant. Dans le cadre de cette campagne, les pirates compromettent les serveurs DNS et redirigent les victimes vers de fausses pages de connexion ou d'autres sites de phishing conçus pour dérober des informations personnelles et financières.
Selon les chercheurs, les pirates ont particulièrement bien réussi leurs attaques contre les petites et moyennes entreprises ainsi que les particuliers. Pour éviter d'être détectés, ils emploient un certain nombre de stratégies, notamment l'utilisation de plusieurs domaines et adresses IP, ainsi que du trafic crypté pour dissimuler leurs activités.
Selon les chercheurs, l'application malveillante a été téléchargée par un grand nombre d'utilisateurs avant d'être découverte et retirée du Google Play Store. Kaspersky a également signalé l'incident à l'équipe de sécurité de Google et aux autorités compétentes afin qu'elles prennent les mesures appropriées et empêchent la diffusion de l'application.
Les chercheurs déclarent : " Les utilisateurs connectent des appareils Android infectés à des Wi-Fi gratuits/publics dans des endroits tels que des cafés, des bars, des bibliothèques, des hôtels, des centres commerciaux et des aéroports. Lorsqu'il est connecté à un modèle Wi-Fi ciblé avec des paramètres vulnérables, le malware Android compromet le routeur et affecte également d'autres appareils. Par conséquent, il est capable de se propager largement dans les régions ciblées."
Les sources de cette pièce comprennent un article d'ArsTechnica.