Лаборатория Касперского обнаружила вирус, перехватывающий DNS

Исследователи обнаружили вредоносное приложение для Android, которое может вмешиваться в работу беспроводного маршрутизатора, к которому подключен зараженный телефон, и принудительно перенаправлять все устройства в сети на вредоносные сайты.


Вредоносное приложение, обнаруженное «Лабораторией Касперского», использует технику, известную как перехват DNS (система доменных имен). После установки приложение подключается к маршрутизатору и пытается войти в свою административную учетную запись, используя стандартные или часто используемые учетные данные, например admin:admin.

В случае успеха приложение меняет DNS-сервер на вредоносный, контролируемый злоумышленниками. С этого момента устройства в сети могут быть направлены на сайты-самозванцы, которые имитируют настоящие, но распространяют вредоносное ПО или регистрируют учетные данные пользователей или другую конфиденциальную информацию.


— лаборатория Касперского.

DNS — это механизм, который сопоставляет доменное имя с числовым IP-адресом, на котором размещен сайт. Поиск DNS выполняется серверами, управляемыми интернет-провайдером пользователя, или службами таких компаний, как Cloudflare или Google. Изменив адрес DNS-сервера в административной панели маршрутизатора с корректного на вредоносный, злоумышленники могут заставить все устройства, подключенные к маршрутизатору, получать вредоносные поисковые запросы домена, которые ведут на похожие сайты, используемые для киберпреступлений.

Приложение для Android известное как Wroba.o уже много лет используется в разных странах, включая США, Францию, Японию, Германию, Тайвань и Турцию. Любопытно, что техника перехвата DNS, на которую способна вредоносная программа, используется почти исключительно в Южной Корее.

С 2019 по большую часть 2022 года злоумышленники заманивали цели на вредоносные сайты, которые рассылались с помощью текстовых сообщений, с помощью метода, известного как smishing . В конце прошлого года злоумышленники включили перехват DNS в свою деятельность в этой азиатской стране.

Злоумышленники, известные в индустрии безопасности как Roaming Mantis, разработали перехват DNS так, чтобы он работал только когда устройства посещают мобильную версию поддельного веб-сайта, что, в большом количестве случаев гарантирует, что подмена останется незамеченной.

Хотя угроза серьезная, у нее есть простая уязвимость — HTTPS. Сертификаты безопасности транспортного уровня (TLS), служащие основой для HTTPS, связывают доменное имя с закрытым ключом шифрования, который известен только оператору сайта. Пользователи, направляемые на вредоносный сайт, в большинстве современных браузеров получат предупреждения о том, что соединение не является безопасным. Им будет предложено утвердить самозаверяющий сертификат — практика, которой пользователи никогда не должны следовать, если не хотят подвергать опасности устройства в своей сети.

Еще один способ борьбы с угрозой — изменить пароль, защищающий административную учетную запись маршрутизатора, с пароля по умолчанию на надежный.