Android-Malware infiziert WLAN-Router und Handys 

Kaspersky_news

Beitrag teilen

Eine neue Android-Malware mit DNS-Changer-Funktion erlaubt es Cyberkriminellen, Android-Smartphones über kompromittierte WLAN-Router in Cafés, Flughafenhotels und an anderen öffentlichen Orten mit Malware zu infizieren. Aktuell werden viele Nutzer in Südkorea infiziert, allerdings verbreitet sich die Malware über Smishing verstärkt in Deutschland und Österreich. Kaspersky-Experten berichten.

Roaming Mantis hat kürzlich eine DNS (Domain Name System)-Changer-Funktionalität in der Malware Wroba.o, auch bekannt als Agent.eq, Moqhao und XLoader, eingeführt – die Malware ist Kernbestandteil der Kampagne. Bei DNS-Changer handelt es sich um ein schädliches Programm, das das mit einem kompromittierten WLAN-Router verbundene Gerät an einen von Cyberkriminellen kontrollierten anstatt eines legitimen DNS-Servers leitet. Dort wird der Nutzer zu einem Download aufgefordert und die so heruntergeladene Malware kann das Gerät steuern oder Anmeldeinformationen stehlen.

Falle: DNS-Changer-Funktionalität

Derzeit hat der Bedrohungsakteur hinter Roaming Mantis ausschließlich Router im Visier, die sich in Südkorea befinden und von einem weit verbreiteten südkoreanischen Netzwerkausrüster hergestellt werden. Um diese zu identifizieren, ruft die neue DNS-Changer-Funktion die IP-Adresse des Routers ab und überprüft das Modell des Routers. Handelt es sich um ein erwünschtes Ziel, wird das Gerät kompromittiert, indem die DNS-Einstellungen überschrieben werden. Im Dezember 2022 beobachtete Kaspersky 508 schädliche APK-Downloads in Südkorea.

Roaming Mantis verbreitet sich in Deutschland und Österreich

Bei der Analyse schädlicher Webseiten, auf die Nutzer weitergeleitet wurden, wurde deutlich, dass die Akteure auch andere Regionen angreifen, indem sie Smishing anstelle von DNS-Changer nutzen. Hierzu werden über Textnachrichten schädliche Links verbreitet, die das Opfer auf eine infizierte Webseite weiterleiten, um Malware auf das Gerät herunterzuladen oder Nutzerinformationen über eine Phishing-Website zu stehlen. Am häufigsten wurden die schädlichen APK-Dateien in Japan heruntergeladen (fast 25.000 Mal), gefolgt von Österreich und Frankreich mit jeweils rund 7.000 sowie Deutschland mit etwa 6.000 Downloads. Die Kaspersky-Experten erwarten, dass die Akteure hinter Roaming Mantis bald die DNS-Changer-Funktion aktualisieren, um auch WLAN-Router in diesen Ländern anzugreifen.

Laut Kaspersky-Telemetrie war die Erkennungsrate für Wroba.o-Malware (Trojan-Dropper.AndroidOS.Wroba.o) im Zeitraum vom September bis Dezember 2022 in Frankreich (54,4 Prozent), Japan (12,1 Prozent) und den USA (10,1 Prozent) am höchsten.

Infizierte Smartphones können andere WLANs infizieren

„Verbindet sich ein infiziertes Smartphone mit einem bisher nicht-infizierten Router an einem öffentlichen Ort, wie beispielsweise ein Café, eine Bar, Bibliotheken, Hotels, Einkaufszentren, Flughäfen oder sogar zu Hause, kann die Wroba.o-Malware diese Router kompromittieren und auch andere verbundene Geräte beeinträchtigen“, erklärt Suguru Ishimaru, Senior Security Researcher bei Kaspersky. „Die neue DNS-Changer-Funktionalität kann die gesamte Gerätekommunikation über den kompromittierten WLAN-Router verwalten. Das heißt auch, dass sie die Nutzer an schädliche Hosts umleiten und Updates von Sicherheitsprodukten deaktivieren kann. Die neue Funktionalität ist für Android-Geräte äußerst kritisch, da sich die Kampagne in den Zielregionen so schnell verbreiten kann.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Forensik realer Cyberangriffe lüftet Taktiken der Angreifer

Detaillierte Untersuchung der vom Sophos Incident Response Team übernommen Fälle macht deutlich, dass Angreifer immer kürzer im infiltrierten Netzwerk verweilen, ➡ Weiterlesen

Ransomware-Gruppe 8base bedroht KMUs

8base ist eine der aktivsten Ransomware-Gruppen. Sie fokussierte sich in diesem Sommer auf kleine und mittlere Unternehmen. Durch niedrige Sicherheitsbudgets ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

ALPHV: Casinos und Hotels in Las Vegas per Hack lahmgelegt

MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, wurde vor kurzem von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Cyberbedrohung: Rhysida-Ransomware

Taktiken und Techniken der Rhysida-Ransomware ähneln denen der berüchtigten Ransomware-Bande Vice Society. Experten vermuten, dass Vice Society eine eigene Variante ➡ Weiterlesen

Gastgewerbe: Angriffe auf Buchungsplattform

Cyberkriminelle stahlen die Kreditkartendaten, persönliche Daten und Passwörter der Kunden der Gaststätten-Buchungsplattform IRM-NG. Bitdefender hat aktuelle Forschungsergebnisse einer derzeit laufenden ➡ Weiterlesen

In Post-Quanten-Kryptografie investieren

Schon jetzt setzt Google in seiner aktuellsten Version des Chrome Browsers auf ein quantensicheres Verschlüsselungsverfahren (Post-Quanten-Kryptografie). Unternehmen sollten das ebenfalls ➡ Weiterlesen