Cyberkriminelle haben einen neuen Weg entdeckt, potenziell zu infizieren Android Smartphones mit Malware durch Kompromittierung W-lan Router an öffentlichen Orten wie Cafés, Flughäfen und Hotels. Forscher aus Kaspersky berichtete kürzlich über das neue Domain Name System (DNS) Wechslerfunktionalität, die in der Roaming Mantis-Kampagne verwendet wird. Die Roaming Mantis-Kampagnedas erstmals 2018 von Kaspersky beobachtet wurde, verwendet bösartige Android-Paketdateien (APK), um infizierte Android-Geräte zu kontrollieren und Geräteinformationen zu stehlen, sowie eine Phishing-Option für iOS-Geräte und Krypto-Mining-Funktionen für PCs.
Die neue DNS-Changer-Funktion leitet das mit einem kompromittierten WLAN-Router verbundene Gerät an einen Server unter der Kontrolle von Cyberkriminellen statt an einen legitimen DNS-Server. Auf der bösartigen Zielseite wird das potenzielle Opfer aufgefordert, Malware herunterzuladen, die das Gerät steuern oder Anmeldeinformationen stehlen kann. Derzeit zielt der Bedrohungsakteur hinter Roaming Mantis ausschließlich auf Router ab, die sich in Südkorea befinden und von einem bekannten südkoreanischen Netzwerkausrüster hergestellt werden.
Die Kaspersky-Forscher gehen jedoch davon aus, dass die Täter die DNS-Changer-Funktion bald aktualisieren werden, um auch WLAN-Router in anderen Regionen anzugreifen. Im Dezember 2022 beobachtete Kaspersky 508 schädliche APK-Downloads in Südkorea. Eine Untersuchung bösartiger Zielseiten ergab, dass Angreifer auch andere Regionen angreifen, indem sie Smishing anstelle von DNS-Wechslern verwenden. Smishing verwendet Textnachrichten, um bösartige Links zu verbreiten, die das Opfer auf eine bösartige Website leiten, um Malware auf das Gerät herunterzuladen oder Benutzerinformationen über eine Phishing-Website zu stehlen.
Japan führte die Liste der Zielländer mit fast 25.000 schädlichen APK-Downloads an, gefolgt von Österreich und Frankreich. Deutschland, die Türkei, Malaysia und Indien wurden ebenfalls ins Visier genommen. Laut Statistiken des Kaspersky Security Network (KSN) im September-Dezember 2022 war die höchste Erkennungsrate der Wroba.o-Malware in Frankreich (54,4 %), Japan (12,1 %) und den USA (10,1 %).
„Wenn sich ein infiziertes Smartphone mit „gesunden“ Routern an verschiedenen öffentlichen Orten wie Cafés, Bars, Bibliotheken, Hotels, Einkaufszentren, Flughäfen oder sogar zu Hause verbindet, kann die Wroba.o-Malware diese Router kompromittieren und auch andere verbundene Geräte beeinträchtigen. Die neue DNS-Wechsler-Funktionalität kann die gesamte Gerätekommunikation über den kompromittierten WLAN-Router verwalten, z. B. die Weiterleitung an bösartige Hosts und die Deaktivierung von Updates von Sicherheitsprodukten. Wir glauben, dass diese Entdeckung für die Cybersicherheit von Android-Geräten von großer Bedeutung ist, da sie in den Zielregionen weit verbreitet werden kann“, sagt er Suguru Ishimaruleitender Sicherheitsforscher bei Kaspersky.
Um Ihre Internetverbindung vor dieser Infektion zu schützen, empfehlen Kaspersky-Forscher, im Benutzerhandbuch Ihres Routers nachzuschlagen, um sicherzustellen, dass Ihre DNS-Einstellungen nicht manipuliert wurden, oder sich an Ihren ISP zu wenden, um Unterstützung zu erhalten. Es wird außerdem empfohlen, den Standard-Login und das Standardkennwort für die Admin-Weboberfläche des Routers zu ändern und die Firmware Ihres Routers regelmäßig von der offiziellen Quelle zu aktualisieren. Vermeiden Sie außerdem die Installation von Router-Firmware aus Drittanbieterquellen und die Verwendung des Drittanbieter-Repositorys.
Die neue DNS-Changer-Funktion leitet das mit einem kompromittierten WLAN-Router verbundene Gerät an einen Server unter der Kontrolle von Cyberkriminellen statt an einen legitimen DNS-Server. Auf der bösartigen Zielseite wird das potenzielle Opfer aufgefordert, Malware herunterzuladen, die das Gerät steuern oder Anmeldeinformationen stehlen kann. Derzeit zielt der Bedrohungsakteur hinter Roaming Mantis ausschließlich auf Router ab, die sich in Südkorea befinden und von einem bekannten südkoreanischen Netzwerkausrüster hergestellt werden.
Die Kaspersky-Forscher gehen jedoch davon aus, dass die Täter die DNS-Changer-Funktion bald aktualisieren werden, um auch WLAN-Router in anderen Regionen anzugreifen. Im Dezember 2022 beobachtete Kaspersky 508 schädliche APK-Downloads in Südkorea. Eine Untersuchung bösartiger Zielseiten ergab, dass Angreifer auch andere Regionen angreifen, indem sie Smishing anstelle von DNS-Wechslern verwenden. Smishing verwendet Textnachrichten, um bösartige Links zu verbreiten, die das Opfer auf eine bösartige Website leiten, um Malware auf das Gerät herunterzuladen oder Benutzerinformationen über eine Phishing-Website zu stehlen.
Japan führte die Liste der Zielländer mit fast 25.000 schädlichen APK-Downloads an, gefolgt von Österreich und Frankreich. Deutschland, die Türkei, Malaysia und Indien wurden ebenfalls ins Visier genommen. Laut Statistiken des Kaspersky Security Network (KSN) im September-Dezember 2022 war die höchste Erkennungsrate der Wroba.o-Malware in Frankreich (54,4 %), Japan (12,1 %) und den USA (10,1 %).
„Wenn sich ein infiziertes Smartphone mit „gesunden“ Routern an verschiedenen öffentlichen Orten wie Cafés, Bars, Bibliotheken, Hotels, Einkaufszentren, Flughäfen oder sogar zu Hause verbindet, kann die Wroba.o-Malware diese Router kompromittieren und auch andere verbundene Geräte beeinträchtigen. Die neue DNS-Wechsler-Funktionalität kann die gesamte Gerätekommunikation über den kompromittierten WLAN-Router verwalten, z. B. die Weiterleitung an bösartige Hosts und die Deaktivierung von Updates von Sicherheitsprodukten. Wir glauben, dass diese Entdeckung für die Cybersicherheit von Android-Geräten von großer Bedeutung ist, da sie in den Zielregionen weit verbreitet werden kann“, sagt er Suguru Ishimaruleitender Sicherheitsforscher bei Kaspersky.
Um Ihre Internetverbindung vor dieser Infektion zu schützen, empfehlen Kaspersky-Forscher, im Benutzerhandbuch Ihres Routers nachzuschlagen, um sicherzustellen, dass Ihre DNS-Einstellungen nicht manipuliert wurden, oder sich an Ihren ISP zu wenden, um Unterstützung zu erhalten. Es wird außerdem empfohlen, den Standard-Login und das Standardkennwort für die Admin-Weboberfläche des Routers zu ändern und die Firmware Ihres Routers regelmäßig von der offiziellen Quelle zu aktualisieren. Vermeiden Sie außerdem die Installation von Router-Firmware aus Drittanbieterquellen und die Verwendung des Drittanbieter-Repositorys.