Android-Malware infiziert WLAN-Router und Handys 

Kaspersky_news

Beitrag teilen

Eine neue Android-Malware mit DNS-Changer-Funktion erlaubt es Cyberkriminellen, Android-Smartphones über kompromittierte WLAN-Router in Cafés, Flughafenhotels und an anderen öffentlichen Orten mit Malware zu infizieren. Aktuell werden viele Nutzer in Südkorea infiziert, allerdings verbreitet sich die Malware über Smishing verstärkt in Deutschland und Österreich. Kaspersky-Experten berichten.

Roaming Mantis hat kürzlich eine DNS (Domain Name System)-Changer-Funktionalität in der Malware Wroba.o, auch bekannt als Agent.eq, Moqhao und XLoader, eingeführt – die Malware ist Kernbestandteil der Kampagne. Bei DNS-Changer handelt es sich um ein schädliches Programm, das das mit einem kompromittierten WLAN-Router verbundene Gerät an einen von Cyberkriminellen kontrollierten anstatt eines legitimen DNS-Servers leitet. Dort wird der Nutzer zu einem Download aufgefordert und die so heruntergeladene Malware kann das Gerät steuern oder Anmeldeinformationen stehlen.

Falle: DNS-Changer-Funktionalität

Derzeit hat der Bedrohungsakteur hinter Roaming Mantis ausschließlich Router im Visier, die sich in Südkorea befinden und von einem weit verbreiteten südkoreanischen Netzwerkausrüster hergestellt werden. Um diese zu identifizieren, ruft die neue DNS-Changer-Funktion die IP-Adresse des Routers ab und überprüft das Modell des Routers. Handelt es sich um ein erwünschtes Ziel, wird das Gerät kompromittiert, indem die DNS-Einstellungen überschrieben werden. Im Dezember 2022 beobachtete Kaspersky 508 schädliche APK-Downloads in Südkorea.

Roaming Mantis verbreitet sich in Deutschland und Österreich

Bei der Analyse schädlicher Webseiten, auf die Nutzer weitergeleitet wurden, wurde deutlich, dass die Akteure auch andere Regionen angreifen, indem sie Smishing anstelle von DNS-Changer nutzen. Hierzu werden über Textnachrichten schädliche Links verbreitet, die das Opfer auf eine infizierte Webseite weiterleiten, um Malware auf das Gerät herunterzuladen oder Nutzerinformationen über eine Phishing-Website zu stehlen. Am häufigsten wurden die schädlichen APK-Dateien in Japan heruntergeladen (fast 25.000 Mal), gefolgt von Österreich und Frankreich mit jeweils rund 7.000 sowie Deutschland mit etwa 6.000 Downloads. Die Kaspersky-Experten erwarten, dass die Akteure hinter Roaming Mantis bald die DNS-Changer-Funktion aktualisieren, um auch WLAN-Router in diesen Ländern anzugreifen.

Laut Kaspersky-Telemetrie war die Erkennungsrate für Wroba.o-Malware (Trojan-Dropper.AndroidOS.Wroba.o) im Zeitraum vom September bis Dezember 2022 in Frankreich (54,4 Prozent), Japan (12,1 Prozent) und den USA (10,1 Prozent) am höchsten.

Infizierte Smartphones können andere WLANs infizieren

„Verbindet sich ein infiziertes Smartphone mit einem bisher nicht-infizierten Router an einem öffentlichen Ort, wie beispielsweise ein Café, eine Bar, Bibliotheken, Hotels, Einkaufszentren, Flughäfen oder sogar zu Hause, kann die Wroba.o-Malware diese Router kompromittieren und auch andere verbundene Geräte beeinträchtigen“, erklärt Suguru Ishimaru, Senior Security Researcher bei Kaspersky. „Die neue DNS-Changer-Funktionalität kann die gesamte Gerätekommunikation über den kompromittierten WLAN-Router verwalten. Das heißt auch, dass sie die Nutzer an schädliche Hosts umleiten und Updates von Sicherheitsprodukten deaktivieren kann. Die neue Funktionalität ist für Android-Geräte äußerst kritisch, da sich die Kampagne in den Zielregionen so schnell verbreiten kann.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Unternehmen geben 10 Mrd. Euro für Cybersicherheit aus

Deutschland wappnet sich gegen Cyberangriffe und investiert dazu mehr denn je in IT- und Cybersicherheit. Im laufenden Jahr werden die ➡ Weiterlesen

Qakbot bleibt gefährlich

Sophos X-Ops hat eine neue Variante der Qakbot-Malware entdeckt und analysiert. Erstmals traten diese Fälle Mitte Dezember auf und sie ➡ Weiterlesen

Bösartige Software am Starten hindern

Ein Cyberschutz-Anbieter hat seine Sicherheitsplattform um eine neue Funktion erweitert. Sie verbessert die Cybersicherheit indem sie den Start bösartiger oder ➡ Weiterlesen

VexTrio: bösartigster DNS-Bedrohungsakteur identifiziert

Ein Anbieter für DNS-Management und -Sicherheit hat VexTrio, ein komplexes, kriminelles Affiliate-Programm enttarnt und geblockt. Damit erhöhen sie die Cybersicherheit. ➡ Weiterlesen

Pikabot: tarnen und täuschen

Pikabot ist ein hochentwickelter und modularer Backdoor-Trojaner, der Anfang 2023 erstmals aufgetaucht ist. Seine bemerkenswerteste Eigenschaft liegt in der Fähigkeit ➡ Weiterlesen

Ein Comeback von Lockbit ist wahrscheinlich

Für Lockbit ist es elementar wichtig, schnell wieder sichtbar zu sein. Opfer sind mutmaßlich weniger zahlungsfreudig, solange es Gerüchte gibt, ➡ Weiterlesen

LockBit lebt

Vor wenigen Tagen ist internationalen Strafverfolgungsbehörden ein entscheidender Schlag gegen Lockbit gelungen. Laut einem Kommentar von Chester Wisniewski, Director, Global ➡ Weiterlesen

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen