太可怕了！黑客是如何攻击劫持安卓用户的DNS？

　　最近发现的针对Android设备的广泛路由器的DNS劫持恶意软件现在已升级为针对iOS设备以及桌面用户的功能。

　　被称为RoamingMantis的恶意软件最初发现在上个月劫持了互联网路由器，以散布旨在窃取用户登录凭证和双因素身份验证密码的Android银行恶意软件。

　　据国内知名黑客安全组织东方联盟的研究人员称，RoamingMantis活动背后的犯罪组织已经通过添加针对iOS设备的钓鱼攻击和针对PC用户的加密货币挖掘脚本扩大了其目标。

　　此外，尽管最初的袭击旨在针对来自东南亚的用户，但该新活动现在支持27种语言，以扩大其业务范围，以感染欧洲和中东地区的人们。

　　与以前的版本类似，新的漫游Mantis恶意软件通过DNS劫持进行分发，攻击者更改无线路由器的DNS设置，将流量重定向到由他们控制的恶意网站。

　　因此，无论用户何时试图通过受到威胁的路由器访问任何网站，他们都会被重定向到流氓网站，这些网站可用于：

　　虚假应用感染银行恶意软件给Android用户，钓鱼网站给iOS用户，使用cryptocurrency挖掘脚本的站点可以将桌面用户使用“[Android]用户被重定向到恶意网站后，系统会提示他们更新浏览器[app]，这会导致下载名为chrome.apk的恶意应用程序。

　　为了逃避检测，虚假网站实时生成新的软件包，并使用独特的恶意apk文件进行下载，并将文件名设置为8个随机数。

　　安装后，攻击者可以使用19个内置后门命令来控制受感染的Android设备，包括sendSms，setWifi，gcont，lock，onRecordAction，call，get_apps，ping等。

　　如果受害者拥有iOS设备，恶意软件会将用户重定向到一个模仿Apple网站的钓鱼网站，并要求他们输入他们的用户ID，密码，卡号，卡到期日期和CVV编号。

​　　东方联盟黑客安全研究人员发现，除了从Android和iOS设备窃取敏感信息之外，如果使用桌面浏览器访问Monero，RoamingMantis会在CoinHive的每个登录页面上注入基于浏览器的加密货币挖掘脚本。

　　考虑到这些新功能和活动的快速增长，东方联盟黑客安全研究人员认为“背后的这些人具有强大的财务动机，并且可能资金充足。”

　　为了保护您免受此类恶意软件的侵害，建议您确保您的路由器运行最新版本的固件并使用强密码保护。由于黑客活动使用攻击者控制的DNS服务器欺骗合法域并将用户重定向到恶意下载文件，因此建议您确保您访问的网站启用了HTTPS。您还应该禁用路由器的远程管理功能，并将可信的DNS服务器硬编码到操作系统网络设置中。

　　总是建议Android设备用户从官方商店安装应用程序，并通过前往设置→安全性→未知来源禁用智能手机上来历不明的来源安装应用程序。

　　要检查您的Wi-Fi路由器是否已被入侵，请查看您的DNS设置并检查DNS服务器地址。如果它与您的提供商发布的不符，请将其更改回正确的一个。还要立即更改所有帐户密码。