Smishing-Kampagne: Roaming Mantis greift nun auch deutsche Nutzer an

Laut Kaspersky-Analysen zielt die schädliche Cyber-Kampagne ‚Roaming Mantis‘ [1], die bisher vor allem asiatische Regionen im Visier hatte, nun auch auf Nutzer in Deutschland und Frankreich ab. Der Akteur hinter der Kampagne verbreitet mobile Malware und Phishing-Seiten, um die privaten Daten der Zielpersonen zu sammeln und ihr Geld zu stehlen. Das infizierte Gerät sendet sodann Smishing-Nachrichten an die nächsten Ziele, beispielsweise an diejenigen, die in der Kontaktliste des jeweiligen Nutzers aufgeführt sind.

Im April 2018 entdeckten Kaspersky-Forscher erstmals Roaming Mantis [2]. Damals infizierten die hinter der Kampagne stehenden Cyberkriminellen nur Android-Smartphones und zielten hauptsächlich auf Asien (Südkorea, Bangladesch und Japan) ab. Die Kampagne hat sich jedoch in kurzer Zeit erheblich weiterentwickelt und seit 2018 setzen die Bedrohungsakteure verschiedene Angriffsmethoden wie Phishing und Mining [3], Smishing [4] und DNS-Hijacking [5] ein. Die Gruppe hat nun ihre geografische Reichweite erhöht und europäische Länder wie Deutschland, Frankreich zu ihren Hauptzielregionen hinzugefügt.

Roaming Mantis attackiert sowohl Android als auch iOS

In der Regel enthalten die Smishing-Nachrichten – eine Kombination aus mobiler Malware und Phishing-Seiten – eine sehr kurze Beschreibung und eine URL zu einer Landing Page. Wenn ein Nutzer auf den Link klickt und die Zielseite öffnet, gibt es zwei Szenarien in der Roaming-Mantis-Kampagne. Im ersten Szenario werden iOS-Nutzer auf eine Phishing-Seite umgeleitet, die die offizielle Apple-Website imitiert, und zur Eingabe der Anmeldedaten auffordert. Im zweiten Szenario wird das Android-Gerät nach einem Klick auf den Link in der Smishing-Nachricht mit Malware infiziert. Dann beginnt der Akteur, über das infizierte Gerät Smishing-Nachrichten an neue Ziele zu senden, sowohl aus der Kontaktliste des Nutzers als auch von generierten Telefonnummern. Da SMS ein eher persönlicher Kommunikationskanal sind, ist die Abwehrbereitschaft einer Person gegenüber Bedrohungen geringer, da die Anwender in der Regel nicht erwarten, eine schädliche Nachricht von Personen zu erhalten, die sie kennen. Diese Kampagne gegen iOS- und Android-Nutzer in Frankreich und Deutschland war so bedeutend, dass die Polizei [6] und lokale Medien [7] Smishing-Warnungen veröffentlichten.

Neue Ziele und Funktionen

Die Cyberkriminellen richteten eine Funktion ein, mit der sie die Region des infizierten Android-Geräts stets überprüfen können, um eine Phishing-Seite in der entsprechenden Sprache anzuzeigen. In früheren Versionen wurde nur auf drei Regionen hin geprüft: Hongkong, Taiwan und Japan. Kaspersky-Experten beobachteten ein Update in der aktuellen Version des Nutzlastteils und sahen, dass Deutschland und Frankreich als neue Regionen jetzt hinzugefügt waren. Durch die Verwendung der Muttersprache der jeweiligen Ziele kann der Akteur die Entscheidungsfindung von Nutzern manipulieren und sie schließlich dazu bringen, persönlichen Informationen und Bankdaten preiszugeben.

Im Vergleich zu früheren Versionen gibt es zudem eine Änderung bei den Backdoor-Befehlen. Der Entwickler fügte Funktionen hinzu, um Fotos von infizierten Geräten zu stehlen. Informationen darüber, wie genau der Akteur die gestohlenen Bilder verwendet, liegen jedoch noch nicht vor. Cyberkriminelle nutzen jedoch häufig persönliche Fotos, um durch Erpressung oder Sextortion an Geld zu kommen.

„Roaming Mantis hat sich in den vergangenen fünf Jahren aktiv weiterentwickelt, neue Angriffsmethoden hervorgebracht und das Gebiet der Zielländer erweitert“, so Suguru Ishimaru, Senior Security Researcher beim Global Research and Analysis Team (GReAT) von Kaspersky. „Wir gehen davon aus, dass diese Angriffe auch im Jahr 2022 weitergehen werden, da sie stark finanziell motiviert sind, insbesondere mit dem Aufkommen neuer Backdoor-Funktionen, die es dem Akteur ermöglichen, Fotos der Betroffenen zu verwenden. Um Nutzer auf der ganzen Welt zu schützen, recherchieren und forschen wir ständig weiter und berichten über die neuesten Aktivitäten von Roaming Mantis.“

Kaspersky-Tipps zum Schutz vor Smishing-Angriffen durch Roaming Mantis

• Verdächtige, mittels SMS-Nachrichten gesendete URLs sollten nicht geöffnet werden. Auch wenn die Nachricht nicht verdächtig aussieht, gilt es, zunächst die URL der entsprechenden Domain zu überprüfen, bevor diese aufgerufen wird.
• Auch wenn eine Nachricht oder E-Mail vermeintlich von einem guten Freund stammt, sollten Nutzer bedenken, dass auch dessen Konto gehackt worden sein könnte – deshalb ist stets Vorsicht geboten. Auch wenn eine Nachricht gutartig und harmlos erscheint, sollten Links und Anhänge mit Vorsicht behandelt werden.
• Nachrichten von offiziellen Organisationen wie Banken, Steuerbehörden, Online-Shops, Reisebüros oder Fluggesellschaften müssen ebenfalls sorgfältig geprüft werden – selbst interne Nachrichten aus dem eigenen Büro oder Unternehmen. Es ist gar nicht so schwer, einen gefälschten Brief zu fabrizieren, der echt aussieht.
• Niemals Anwendungen von Drittanbietern aus nicht vertrauenswürdigen Quellen installieren.
• Die Installation einer vertrauenswürdigen Sicherheitslösung wie Kaspersky Internet Security [8] und das Befolgen derer Empfehlungen sind die Schlüssel zur Abwehr solcher Bedrohungen. Sichere Lösungen bewältigen die meisten Probleme automatisch und warnen nur, sofern es nötig ist.

Der vollständige Bericht über Roaming Mantis ist verfügbar unter https://securelist.com/roaming-mantis-reaches-europe/105596/

[1] https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/85178/

[2] https://www.kaspersky.de/blog/roaming-mantis-malware/16779/

[3] https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/

[4] https://securelist.com/roaming-mantis-part-v/96250/

[5] https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/85178/

[6] https://www.polizei-praevention.de/aktuelles/sms-mit-paketbenachrichtigungslink-verursacht-massenhafte-sms.html

[7] https://www.futurezone.de/digital-life/article230850314/frech-getarnte-android-malware-auf-diese-textnachricht-darfst-du-nicht-reagieren.html

[8] https://www.kaspersky.de/internet-security

Nützliche Links:

• Kaspersky Internet Security: https://www.kaspersky.de/internet-security
• Kaspersky-Analyse zu Roaming Mantis: https://securelist.com/roaming-mantis-reaches-europe/105596/