Cybercriminelen wijzigen de dns-instellingen van routers om Android-malware te verspreiden die bankgegevens probeert te stelen, zo waarschuwt anti-virusbedrijf Kaspersky Lab. Het is echter onbekend hoe de aanvallers toegang tot de routers weten te krijgen om de dns-instellingen aan te passen.
Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Door het aanpassen van de dns-instellingen bepalen de aanvallers naar welk ip-adres gebruikers worden doorgestuurd. Als gebruikers van een gehackte router een website opvragen worden ze zodoende altijd naar een kwaadaardige website doorgestuurd.
Vanwege de aangepaste dns-instellingen verschijnt in de adresbalk van de browser wel de naam van de opgevraagde website. De kwaadaardige website laat vervolgens een melding zien dat de gebruiker een update voor Google Chrome of Facebook moet installeren. Hiervoor wordt er een APK-bestand aangeboden, wat de malware is. Standaard zal Android dergelijke APK-bestanden niet installeren. Gebruikers moeten dan ook zelf deze beveiligingsmaatregel uitschakelen om het APK-bestand te installeren en met de malware besmet te raken.
Het doel van de malware is het stelen van bankgegevens. Eenmaal geïnstalleerd op het toestel laat de malware boven andere vensters een phishingvenster zien waarin om allerlei gegevens wordt gevraagd. Hierbij wordt er ook specifiek om de verificatiecode voor tweefactorauthenticatie gevraagd. De malware ondersteunt daarnaast ook het onderscheppen van sms-berichten, die bijvoorbeeld een verificatiecode kunnen bevatten, en het opnemen van audio.
Kaspersky Lab detecteerde de malware meer dan 6.000 keer. De meldingen waren echter afkomstig van 150 unieke gebruikers die de malware keer op keer op hun netwerk tegenkwamen. Voor zover bekend zijn Chinees-, Engels-, Japans- en Koreaanstalige gebruikers het doelwit, aangezien de malware alleen teksten voor deze talen bevat. De meeste infecties zijn in Zuid-Korea waargenomen. De grote vraag is echter hoe de aanvallers toegang tot de routers weten te krijgen. Iets waar de onderzoekers op dit moment nog geen antwoord op hebben. Eind vorig jaar werd echter bekend dat er in onder andere Zuid-Korea allerlei kwetsbare routers zijn te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.