Eine neue Android-Malware mit DNS-Changer-Funktion erlaubt es Cyberkriminellen, Android-Smartphones über kompromittierte WLAN-Router in Cafés, Flughafenhotels und an anderen öffentlichen Orten mit Malware zu infizieren. Aktuell werden viele Nutzer in Südkorea infiziert, allerdings verbreitet sich die Malware über Smishing verstärkt in Deutschland und Österreich. Kaspersky-Experten berichten.
Roaming Mantis hat kürzlich eine DNS (Domain Name System)-Changer-Funktionalität in der Malware Wroba.o, auch bekannt als Agent.eq, Moqhao und XLoader, eingeführt – die Malware ist Kernbestandteil der Kampagne. Bei DNS-Changer handelt es sich um ein schädliches Programm, das das mit einem kompromittierten WLAN-Router verbundene Gerät an einen von Cyberkriminellen kontrollierten anstatt eines legitimen DNS-Servers leitet. Dort wird der Nutzer zu einem Download aufgefordert und die so heruntergeladene Malware kann das Gerät steuern oder Anmeldeinformationen stehlen.
Falle: DNS-Changer-Funktionalität
Derzeit hat der Bedrohungsakteur hinter Roaming Mantis ausschließlich Router im Visier, die sich in Südkorea befinden und von einem weit verbreiteten südkoreanischen Netzwerkausrüster hergestellt werden. Um diese zu identifizieren, ruft die neue DNS-Changer-Funktion die IP-Adresse des Routers ab und überprüft das Modell des Routers. Handelt es sich um ein erwünschtes Ziel, wird das Gerät kompromittiert, indem die DNS-Einstellungen überschrieben werden. Im Dezember 2022 beobachtete Kaspersky 508 schädliche APK-Downloads in Südkorea.
Roaming Mantis verbreitet sich in Deutschland und Österreich
Bei der Analyse schädlicher Webseiten, auf die Nutzer weitergeleitet wurden, wurde deutlich, dass die Akteure auch andere Regionen angreifen, indem sie Smishing anstelle von DNS-Changer nutzen. Hierzu werden über Textnachrichten schädliche Links verbreitet, die das Opfer auf eine infizierte Webseite weiterleiten, um Malware auf das Gerät herunterzuladen oder Nutzerinformationen über eine Phishing-Website zu stehlen. Am häufigsten wurden die schädlichen APK-Dateien in Japan heruntergeladen (fast 25.000 Mal), gefolgt von Österreich und Frankreich mit jeweils rund 7.000 sowie Deutschland mit etwa 6.000 Downloads. Die Kaspersky-Experten erwarten, dass die Akteure hinter Roaming Mantis bald die DNS-Changer-Funktion aktualisieren, um auch WLAN-Router in diesen Ländern anzugreifen.
Laut Kaspersky-Telemetrie war die Erkennungsrate für Wroba.o-Malware (Trojan-Dropper.AndroidOS.Wroba.o) im Zeitraum vom September bis Dezember 2022 in Frankreich (54,4 Prozent), Japan (12,1 Prozent) und den USA (10,1 Prozent) am höchsten.
Infizierte Smartphones können andere WLANs infizieren
„Verbindet sich ein infiziertes Smartphone mit einem bisher nicht-infizierten Router an einem öffentlichen Ort, wie beispielsweise ein Café, eine Bar, Bibliotheken, Hotels, Einkaufszentren, Flughäfen oder sogar zu Hause, kann die Wroba.o-Malware diese Router kompromittieren und auch andere verbundene Geräte beeinträchtigen“, erklärt Suguru Ishimaru, Senior Security Researcher bei Kaspersky. „Die neue DNS-Changer-Funktionalität kann die gesamte Gerätekommunikation über den kompromittierten WLAN-Router verwalten. Das heißt auch, dass sie die Nutzer an schädliche Hosts umleiten und Updates von Sicherheitsprodukten deaktivieren kann. Die neue Funktionalität ist für Android-Geräte äußerst kritisch, da sich die Kampagne in den Zielregionen so schnell verbreiten kann.“
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/