Kaspersky-Analyse: Verbreitung über Router; deutsche Smartphone-Nutzer im Visier; Krypto-Mining-Funktion gegen PCs
Kaspersky Lab warnt vor der Cyberangriffskampagne „Roaming Mantis“ [1], die ihren eigentlichen Ursprung in Asien hat. Die Hintermänner haben ihre Attacken nun auf Europa und den Nahen Osten ausgeweitet. Die eingesetzte Malware wird auch in deutscher Sprache in Umlauf gebracht. Zudem sind nicht mehr ausschließlich nur Android-Nutzer betroffen. Das Angriffsarsenal beinhaltet unter anderem eine iOS-Phishing-Option sowie einen Krypto-Miner für PCs. Die Malware wird über kompromittierte Router und DNS-Hijacking verbreitet. Im Visier der Cyberkriminellen sind in erster Linie Nutzerdaten inklusive Zugangsdaten, über die sich die Angreifer die vollständige Kontrolle über befallene Geräte verschaffen. Kaspersky Lab vermutet hinter den Cyberkriminellen eine profitorientierte koreanisch- oder chinesischsprachige Gruppe.
Kaspersky Lab machte am 16. April 2018 [2] erstmals auf eine Android-Malware aufmerksam, die über DNS-Hijacking – also den Missbrauch von Funktionen im Domain Name System (DNS) – verbreitet wird und sich vornehmlich gegen Smartphone-Nutzer in Asien richtet.
Laut den Kaspersky-Experten versuchen die Hintermänner von Roaming Mantis, ungeschützte Router zu kompromittieren. Sie nutzen einen sehr einfachen, aber wirkungsvollen Trick zur Verbreitung ihrer Malware: DNS-Hijacking. Wurde ein Router erfolgreich übernommen, führen sämtliche Versuche der Anwender, Webseiten aufzurufen, zur Anzeige einer echt aussehenden Webseite mit gefälschtem Inhalt, die auf dem Server der Angreifer liegt. Dort werden die Nutzer dann aufgefordert, zur Verbesserung der Funktionalität ihres Browsers einen Upload auf die neueste Version von Chrome durchzuführen. Wird der dort präsentierte Link angeklickt, erfolgt die Installation eines Trojaners mit Namen „facebook.apk“ oder „chrome.apk“, der eine Android-Backdoor enthält. Noch ist nicht bekannt, wie die Router infiziert werden.
Die Malware Roaming Mantis prüft, ob ein Gerät gerootet wurde und fordert Rechte ein, mit denen jede Kommunikation und Browser-Aktivität der Nutzer registriert werden kann. Zudem sammelt die Malware zahlreiche Daten, inklusive der Zugangsdaten für eine Zwei-Faktor-Autorisierung. Das sowie die Tatsache, dass im Malware-Code Referenzen auf Mobile Banking und ID-Adressen von in Korea beliebten Spiele-Anwendungen zu finden sind, lässt auf finanzielle Motive hinter der Kampagne schließen.
Neue Features und breiteres Operationsgebiet
Die Kaspersky-Experten identifizierten bei ihrer anfänglichen Untersuchung rund 150 Ziele in Südkorea, Bangladesch und Japan; jedoch täglich auch mehrere Tausend Verbindungen zum Command-and-Control (C&C)-Server der Angreifer, was auf eine breiter angelegte Kampagne hindeutet. Die Malware unterstützte damals die Sprachen Koreanisch, vereinfachtes Chinesisch, Japanisch und Englisch.
Inzwischen werden 27 Sprachen unterstützt, darunter auch Deutsch, Polnisch, Arabisch, Bulgarisch und Russisch. Erkennt die Malware, dass es sich um ein iOS-Gerät handelt, leiten die Angreifer ihre Opfer auf eine Phishing-Seite mit Apple-relevanten Themen. Die jüngste Erweiterung ist eine schädliche Website mit der Fähigkeit zum Krypto-Mining auf PCs. Nach Meinung der Kaspersky-Experten muss es mindestens eine größere Angriffswelle gegeben haben, denn innerhalb weniger Tage wurden mehr als hundert Kaspersky-Kunden attackiert.
„Schon bei unserem ersten Bericht über Roaming Mantis im April gingen wir von einer aktiven und sich rasch wandelnden Gefahr aus“, sagt Suguru Ishimaru, Security Researcher bei Kaspersky Lab in Japan. „Die neuen Erkenntnisse zeigen, dass eine dramatische Ausweitung des Operationsgebiets auch nach Europa und in den Nahen Osten stattgefunden haben muss. Wir halten die Angreifer für Cyberkriminelle, die es auf finanzielle Vorteile abgesehen haben, und viele Hinweise deuten auf eine Gruppe aus dem chinesischen oder koreanischen Sprachraum. Offensichtlich verfolgt die Bedrohung ein klar definiertes Ziel, was ein Abebben in nächster Zeit unwahrscheinlich macht.“
Die Lösungen von Kaspersky Lab erkennen die Bedrohungen durch Roaming Mantis als „Trojan-Banker.AndroidOS.Wroba“.
Zum Schutz vor Infektionen durch Internet-Verbindungen empfiehlt Kaspersky Lab Folgendes:
- Mit Hilfe des Router-Handbuchs sollte man sich versichern, dass die DNS-Einstellungen nicht manipuliert wurden. Gegebenenfalls den Internet Service Provider kontaktieren.
- Voreingestellte Zugangsdaten (Login und Passwort) für das Webinterface zur Router-Administration sollten geändert werden. Die Firmware des Routers regelmäßig über die offiziellen Quellen auf den neuesten Stand bringen.
- Nie Router-Firmware von Drittanbietern installieren. Außerdem sollte man von Drittanbieter-Repositorys für Android-Geräte die Finger lassen.
- Browser und die Adressen von Websites auf ihre Legitimation prüfen. Vor der Eingabe von Daten auf Anzeichen einer sicheren Verbindung achten (zum Beispiel https).
- Um die Geräte vor diesen und weiteren Gefahren zu schützen, sollten Nutzer eine mobile Sicherheitslösung wie etwa Kaspersky Internet Security for Android [3] installieren.
Mehr Informationen zu Roaming Mantis sind zu finden unter https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/
[1]https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/
[2]https://securelist.com/roaming-mantis-uses-dns-hijacking-to-infect-android-smartphones/85178/
[3]https://www.kaspersky.de/android-security
Nützliche Links:
- Kaspersky-Bericht zur aktuellen Ausbreitung von Roaming Mantis: https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/
Kaspersky Internet Security for Android: https://www.kaspersky.de/android-security
