카스퍼스키가 DNS 하이재킹으로 Google에 Wroba.o를 신고합니다.
카스퍼스키가 DNS 하이재킹을 사용하여 피해자의 개인 및 금융 정보를 훔치는 새로운 악성 앱인 Wroba.o를 발견했습니다. Google Play 스토어에서 발견된 이 앱은 합법적인 앱으로 가장하여 피싱 웹사이트 또는 기타 악성 도메인으로 트래픽을 리디렉션하도록 맞춤화되어 있습니다.
이 앱은 로밍 맨티스라는 그룹이 만든 것으로 알려져 있습니다. DNS 하이재킹은 디바이스가 스푸핑된 웹사이트의 모바일 버전을 방문할 때만 작동하도록 설계되어 캠페인이 탐지되지 않을 가능성이 높다고 합니다.
DNS(도메인 이름 시스템) 하이재킹은 악성 앱이 사용하는 기법입니다. 설치 후 앱은 라우터에 연결하고 관리자 계정(예: admin:admin)을 사용하여 기본 또는 일반적으로 사용되는 자격 증명을 사용하여 관리자 계정에 로그인을 시도합니다. 앱이 성공하면 DNS 서버를 공격자가 제어하는 서버로 변경합니다. 그러면 네트워크에 있는 디바이스는 합법적으로 보이지만 멀웨어를 유포하거나 사용자 자격 증명 또는 기타 민감한 데이터를 기록하는 가짜 사이트로 연결될 수 있습니다.
DNS 하이재킹은 공격자가 웹사이트의 DNS(도메인 이름 시스템) 설정을 수정하여 정상적인 웹사이트로 향하는 트래픽을 악성 웹사이트로 리디렉션하는 기법입니다. 해커들은 이 캠페인에서 DNS 서버를 손상시켜 피해자를 가짜 로그인 페이지나 개인 및 금융 정보를 훔치도록 설계된 기타 피싱 사이트로 리디렉션하고 있습니다.
연구진에 따르면 해커들은 특히 개인뿐만 아니라 중소기업에 대한 공격에 성공했다고 합니다. 해커들은 탐지를 피하기 위해 여러 도메인과 IP 주소를 사용하고 트래픽을 암호화하여 활동을 은폐하는 등 다양한 전략을 사용합니다.
연구원들에 따르면 이 악성 앱은 발견되어 Google Play 스토어에서 제거되기 전에 많은 사용자가 다운로드했습니다. 또한 카스퍼스키는 이 사건을 Google 보안 팀과 해당 당국에 보고하여 적절한 조치를 취하고 앱이 배포되는 것을 방지하도록 했습니다.
연구자들은 이렇게 말합니다: "사용자는 카페, 바, 도서관, 호텔, 쇼핑몰, 공항 등의 장소에서 감염된 Android 디바이스를 무료/공용 Wi-Fi에 연결합니다. 설정이 취약한 Wi-Fi 모델에 연결하면 Android 멀웨어가 라우터를 손상시키고 다른 디바이스에도 영향을 미칩니다. 그 결과 표적이 된 지역에 광범위하게 퍼질 수 있습니다."
이 글의 출처는 ArsTechnica의 기사입니다.