{"id":16779,"date":"2018-05-18T16:11:38","date_gmt":"2018-05-18T14:11:38","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=16779"},"modified":"2018-05-18T16:42:00","modified_gmt":"2018-05-18T14:42:00","slug":"roaming-mantis-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/roaming-mantis-malware\/16779\/","title":{"rendered":"Roaming Mantis infiziert Smartphones \u00fcber WLAN-Router"},"content":{"rendered":"

Vor rund einem Monat haben unsere Experten von Kaspersky Lab bereits auf eine Android-Malware namens Roaming Mantis aufmerksam gemacht<\/a>. Zu dieser Zeit wurden vor allem Nutzer aus Japan, Korea, China, Indien und Bangladesh angegriffen; Nun haben die Hinterm\u00e4nner ihre Attacken allerdings auch auf Europa und den Nahen Osten ausgeweitert. Dar\u00fcber hinaus wird die eingesetzte Malware auch in deutscher Sprache in Umlauf gebracht.<\/span>\"Roaming<\/a><\/p>\n

Die Malware wird \u00fcber kompromittierte Router verbreitet und infiziert auf diese Weise Android-basierte Smartphones und Tablets, leitet iOS-Ger\u00e4te auf Phishing-Seiten weiter und f\u00fchrt das CoinHive-Kryptomining-Skript auf D<\/span>esktops und Laptops aus. Die Kriminellen nutzen hierf\u00fcr einen sehr einfachen, aber wirkungsvollen Trick \u2013 DNS-Hijacking \u2013 weshalb Nutzer oftmals gar nicht bemerken, dass etwas nicht stimmt.<\/span><\/p>\n

Die Cyberangriffskampagne #RoamingMantis verbreitet sich \u00fcber Router und hat deutsche Smartphone-Nutzer im Visier.<\/p>Tweet<\/a><\/blockquote>\n

Was ist DNS-Hijacking<\/h3>\n

Wenn Sie den Namen einer Website in die Adressleiste des Browsers eingeben, sendet der Browser im Grunde genommen gar keine Anfrage an diese Seite. Das Internet arbeitet n\u00e4mlich auf der Grundlage von IP-Adressen, bei denen es sich um Zahlengruppen handelt. Domains hingegen, die aus Buchstaben bestehen, sind lediglich f\u00fcr uns Menschen gedacht, da sie so leichter zu merken und einzugeben sind.<\/span><\/p>\n

Wenn man also eine URL-Adresse im Browser eingibt, besteht dessen erste Aufgabe darin, eine Anfrage an einen sogenannten DNS-Server (Domain Name System) zu senden, der den \u201emenschlichen\u201c Namen in die IP-Adresse der entsprechenden Website \u00fcbersetzt. Diese IP-Adresse verwendet der Browser dann zum Suchen und \u00d6ffnen einer Seite.<\/span><\/p>\n

DNS-Hijacking ist eine M\u00f6glichkeit, den Browser im Glauben zu lassen, dass der Domainname mit der tats\u00e4chlichen IP-Adresse \u00fcbereinstimmt, obwohl dies nicht der Fall ist.<\/p>\n

Es gibt viele DNS-Hijacking-Techniken; die Entwickler von Roaming Mantis haben aber wahrscheinlich die einfachste und effektivste aller Methoden gew\u00e4hlt: Sie hijacken die Einstellungen kompromittierter Router und zwingen diese dazu, ihre eigenen Rogue-DNS-Server zu verwenden. Das bedeutet, dass Nutzer, die mit einem Ger\u00e4t \u00fcber diesen Router verbunden sind, auf eine echt aussehende Webseite mit gef\u00e4lschtem Inhalt weitergeleitet werden; hierbei ist es vollkommen egal, was man in Adresszeile des Browsers eingibt.<\/span><\/p>\n

Roaming Mantis auf Android-Ger\u00e4ten<\/h3>\n

Nachdem der Nutzer auf die b\u00f6sartige Website umgeleitet wurde, wird er dazu aufgefordert, einen Upload auf die neueste Version von Chrome durchzuf\u00fchren. Dies f\u00fchrt zur Installation eines Trojaners mit dem Namen \u201efacebook.apk<\/strong>\u201c oder \u201echrome.apk<\/strong>\u201e, der eine Android-Backdoor enth\u00e4lt.<\/p>\n

\"Roaming<\/a><\/p>\n

Die Malware fordert w\u00e4hrend des Installationsvorgangs eine Reihe von Rechten<\/a> ein; darunter befinden sich Berechtigungen f\u00fcr den Zugriff auf Kontoinformationen, Dateien, das Senden und Empfangen von Kurznachrichten, die Verarbeitung von Sprachanrufen, das Aufzeichnen von Audios, usw. F\u00fcr eine vertrauensw\u00fcrdige Anwendung wie Google Chrome scheint eine solche Liste nicht allzu verd\u00e4chtig zu sein \u2013 wenn der Benutzer dieses \u201eBrowserupdate\u201c f\u00fcr legitim h\u00e4lt, liest er sich die Liste vermutlich nicht einmal durch.<\/p>\n

Nach der Installation greift die Malware auf eine Liste aller Accounts zu, um herauszufinden, welches Google-Konto auf dem Ger\u00e4t verwendet wird. Dem Benutzer wird dann eine Nachricht angezeigt, die ihn dar\u00fcber informiert, dass mit dem Konto etwas nicht in Ordnung ist und er sich deshalb erneut einloggen muss. Daraufhin wird eine Seite ge\u00f6ffnet, auf der der Nutzer dazu aufgefordert wird, seinen Namen und das Geburtsdatum einzugeben.<\/span><\/p>\n

\"Roaming<\/a><\/p>\n

Diese Daten werden dann, gepaart mit den SMS-Berechtigungen, die den Kriminellen Zugriff auf die f\u00fcr die Zwei-Faktor-Authentifizierung erforderlichen Codes gew\u00e4hren, von den Entwicklern von Roaming Mantis scheinbar dazu verwendet, Google-Konten zu entwenden.<\/p>\n

Roaming Mantis: Krypto-Mining-Funktion gegen PCs und iOS-Phishing-Option<\/h3>\n

Zu Beginn konnte Roaming Mantis Nachrichten lediglich auf vier Sprachen anzeigen: Englisch, Koreanisch, Chinesisch und Japanisch. Inzwischen werden aber bereits 27 Sprachen unterst\u00fctzt:<\/p>\n