‚Roaming Mantis‘ infiziert Android-Smartphones über öffentliche WLAN-Router

Kaspersky-Experten haben neue Funktionen der Cyber-Kampagne Roaming Mantis entdeckt [1]. Eine neue DNS-Changer-Funktion erlaubt es den Cyberkriminellen, Android-Smartphones über kompromittierte WLAN-Router in Cafés, Flughafenhotels und an anderen öffentlichen Orten mit der Wroba.o-Malware [2] zu infizieren. Derzeit zielt die neue Funktion auf Nutzer in Südkorea ab, allerdings verbreitet sich die Malware über Smishing verstärkt auch in Deutschland und Österreich.

Die Kampagne Roaming Mantis, auch bekannt als Shaoye, wurde von Kaspersky erstmals im Jahr 2018 beobachtet. Im Rahmen der Kampagne kommen schädliche Android-Paketdateien (APK) zum Einsatz, um infizierte Android-Geräte zu kontrollieren und Geräteinformationen zu stehlen. Weiterhin gibt es eine Phishing-Option für iOS-Geräte sowie Krypto-Mining-Funktionen für Computer. Der Name der Kampagne leitet sich von der Art der Verbreitung über Smartphones ab, die sich zwischen WLAN-Netzwerken bewegen und möglicherweise die Infektion übertragen und verbreiten.

DNS-Changer-Funktionalität, um mehr Nutzer in Südkorea über Router anzugreifen

Roaming Mantis hat kürzlich eine DNS (Domain Name System)-Changer-Funktionalität in der Malware Wroba.o, auch bekannt als Agent.eq, Moqhao und XLoader, eingeführt –  die Malware ist Kernbestandteil der Kampagne. Bei DNS-Changer handelt es sich um ein schädliches Programm, das das mit einem kompromittierten WLAN-Router verbundene Gerät an einen von Cyberkriminellen kontrollierten anstatt eines legitimen DNS-Servers leitet. Dort wird der Nutzer zu einem Download aufgefordert und die so heruntergeladene Malware kann das Gerät steuern oder Anmeldeinformationen stehlen.

Derzeit hat der Bedrohungsakteur hinter Roaming Mantis ausschließlich Router im Visier, die sich in Südkorea befinden und von einem weit verbreiteten südkoreanischen Netzwerkausrüster hergestellt werden. Um diese zu identifizieren, ruft die neue DNS-Changer-Funktion die IP-Adresse des Routers ab und überprüft das Modell des Routers. Handelt es sich um ein erwünschtes Ziel, wird das Gerät kompromittiert, indem die DNS-Einstellungen überschrieben werden. Im Dezember 2022 beobachtete Kaspersky 508 schädliche APK-Downloads in Südkorea.

Roaming Mantis verbreitet sich über Smishing in Deutschland und Österreich

Bei der Analyse schädlicher Webseiten, auf die Nutzer weitergeleitet wurden, wurde deutlich, dass die Akteure auch andere Regionen angreifen, indem sie Smishing anstelle von DNS-Changer nutzen. Hierzu werden über Textnachrichten schädliche Links verbreitet, die das Opfer auf eine infizierte Webseite weiterleiten, um Malware auf das Gerät herunterzuladen oder Nutzerinformationen über eine Phishing-Website zu stehlen. Am häufigsten wurden die schädlichen APK-Dateien in Japan heruntergeladen (fast 25.000 Mal), gefolgt von Österreich und Frankreich mit jeweils rund 7.000 sowie Deutschland mit etwa 6.000 Downloads. Die Kaspersky-Experten erwarten, dass die Akteure hinter Roaming Mantis bald die DNS-Changer-Funktion aktualisieren, um auch WLAN-Router in diesen Ländern anzugreifen.

Laut Kaspersky-Telemetrie war die Erkennungsrate für Wroba.o-Malware (Trojan-Dropper.AndroidOS.Wroba.o) im Zeitraum vom September bis Dezember 2022 in Frankreich (54,4 Prozent), Japan (12,1 Prozent) und den USA (10,1 Prozent) am höchsten.

„Verbindet sich ein infiziertes Smartphone mit einem bisher nicht-infizierten Router an einem öffentlichen Ort, wie beispielsweise ein Café, eine Bar, Bibliotheken, Hotels, Einkaufszentren, Flughäfen oder sogar zu Hause, kann die Wroba.o-Malware diese Router kompromittieren und auch andere verbundene Geräte beeinträchtigen“, erklärt Suguru Ishimaru, Senior Security Researcher bei Kaspersky. „Die neue DNS-Changer-Funktionalität kann die gesamte Gerätekommunikation über den kompromittierten WLAN-Router verwalten. Das heißt auch, dass sie die Nutzer an schädliche Hosts umleiten und Updates von Sicherheitsprodukten deaktivieren kann. Die neue Funktionalität ist für Android-Geräte äußerst kritisch, da sich die Kampagne in den Zielregionen so schnell verbreiten kann.“

Kaspersky-Tipps zum Schutz vor Roaming Mantis

• Mittels Nutzerhandbuch des Routers oder mit Hilfe des eigenen Internet-Providers prüfen, ob die DNS-Einstellungen manipuliert wurden.
• Die Standard-Login-Details für die Admin-Weboberfläche des Routers ändern.
• Regelmäßig die Firmware des Routers aktualisieren. Der Download der Firmware sollte nur von offiziellen Quellen stattfinden, nicht von Drittanbietern.
• Keine Repositories von Drittanbietern für die genutzten Android-Geräte verwenden.
• Browser- und Webseite-Adressen überprüfen, um sicherzustellen, dass diese legitim sind. Die URL sollte mit https beginnen, wenn auf einer Webseite Daten eingegeben werden sollen.
• Eine robuste Sicherheitslösung wie Kaspersky Premium [3] nutzen, um sich vor verschiedenen Arten von Cyberbedrohungen zu schützen.

Weitere Informationen zur DNS-Changer-Funktion von Roaming Mantis sind verfügbar unter https://securelist.com/roaming-mantis-dns-changer-in-malicious-mobile-app/108464/

[1] https://securelist.com/roaming-mantis-dns-changer-in-malicious-mobile-app/108464/

[2] https://threats.kaspersky.com/en/threat/Trojan-Banker.AndroidOS.Wroba/

[3] https://kas.pr/re3t

Nützliche Links:

• Kaspersky-Analyse zu Roaming Mantis: https://securelist.com/roaming-mantis-dns-changer-in-malicious-mobile-app/108464/
• Kaspersky Premium: https://kas.pr/re3t