Eine Malware, die Smartphones über Wi-Fi-Router infiziert – als „Roaming Mantis“ bezeichnet – verbreitet sich schnell auf der ganzen Welt, nachdem sie erst vor ein paar Monaten zum ersten Mal aufgetaucht ist.
Durch DNS-Hijacking verwendet die Malware kompromittierte Router, um Android-Smartphones und -Tablets zu infizieren, iOS-Geräte auf eine Phishing-Site umzuleiten und CoinHive, ein Krypto-Mining-Skript, auf Desktops und Computern auszuführen.
Nachdem bisher hauptsächlich Benutzer in Japan, Korea, China, Indien und Bangladesch betroffen waren, hat Roaming Mantis zwei Dutzend weitere Sprachen hinzugefügt – darunter Arabisch, Russisch und eine Vielzahl europäischer Sprachen – und verbreitet sich laut Kaspersky Lab schnell auf der ganzen Welt , ein Unternehmen für Cybersicherheit.
Roaming Mantis hat laut Kaspersky die einfachste und effektivste Form des DNS-Hijackings gewählt, bei der die Einstellungen kompromittierter Router gekapert und sie gezwungen werden, ihre eigenen Rogue-DNS-Server zu verwenden, was bedeutet, dass ein Benutzer auf eine bösartige Website umgeleitet wird, wenn er einen verwendet Gerät, das mit dem kompromittierten Router verbunden ist.
Obwohl die Malware beim ersten Auftreten nur Android-Geräte betraf, haben ihre Ersteller ihr nun beigebracht, iOS-Geräte anzugreifen.
Android-Benutzer werden aufgefordert, den Browser zu aktualisieren, bevor sie eine als Chrome oder Facebook getarnte bösartige App herunterladen, die eine Reihe von Berechtigungen anfordert und diese verwendet, um die Zwei-Faktor-Authentifizierung zu knacken und Google-Konten zu kapern. Benutzer von iOS werden unterdessen zu einem Mockup der Apple-Website mit dem Namen security.apple.com umgeleitet und aufgefordert, ihre Anmeldedaten sowie ihre Bankkartennummer einzugeben.
Die letzte „Innovation“, die Forscher entdeckten, war Roaming Mantis, das ein CoinHive-Mining-Skript auf Desktops und Laptops ausführte – Prozesse bis zum Maximum auslastete und enorme Mengen an Energie verbrauchte, um Kryptowährung für seine Ersteller abzubauen.
Roaming Mantis wurde erstmals im März entdeckt, sagte Kaspersky, in japanischen Berichten über gekaperte DNS-Einstellungen auf Routern, die Benutzer auf bösartige IP-Adressen umleiten – was das Cybersicherheitsunternehmen dazu veranlasste, im vergangenen Monat erste Forschungsergebnisse über die Malware zu veröffentlichen.
„Während unserer Recherchen haben wir einige unschätzbare Informationen über das wahre Ausmaß dieses Angriffs erhalten. Es gab täglich Tausende von Verbindungen zur Command-and-Control-Infrastruktur (C2), wobei das Gerätegebietsschema für die Mehrheit der Opfer auf Koreanisch eingestellt war“, schrieb Nachwuchsforscher Suguru Ishimaru.
„Da wir keinen bereits bestehenden Namen für diese Malware-Operation gefunden haben, haben wir uns entschieden, einen neuen Namen für zukünftige Referenzen zu vergeben. Aufgrund der Verbreitung über Smartphones, die zwischen Wi-Fi-Netzwerken roamen und möglicherweise die Infektion übertragen und verbreiten, haben wir uns entschieden, es „Roaming Mantis“ zu nennen.“
Kaspersky kam damals zu dem Schluss, dass Roaming Mantis hauptsächlich für die Verbreitung in asiatischen Ländern entwickelt wurde, wobei 98 % der betroffenen Geräte auf Koreanisch konfiguriert waren und später Sprachunterstützung für traditionelles Chinesisch, Englisch und Japanisch hinzugefügt wurde.
Aber die Erweiterung von Roaming Mantis zeigt, dass seine Entwickler sehr daran interessiert sind, die Effektivität der Malware auszunutzen, indem sie die Unterstützung für 24 weitere Sprachen hinzufügen und ihre Reichweite global erweitern.
Die Bedrohung durch Malware scheint allgegenwärtig und nimmt ständig zu. Symantec-Forscher haben diesen Monat eine Reihe bösartiger Apps entdeckt, die sich zurück in den Google Play Store schleichen, indem sie einfach ihre Namen ändern, nachdem sie in der Vergangenheit entfernt wurden.
In der Zwischenzeit zeigten weitere Untersuchungen von Symantec Anfang dieses Jahres Fälle von Krypto-Jacking, wofür die Manifestation von Roaming Mantis auf Desktop- und Laptop-Computern ein typisches Beispiel ist, die im letzten Quartal 2017 im Jahresvergleich um 8.500 % gestiegen sind.
Kaspersky umfasste mehrere Schritte, um mit Roaming Mantis infizierte Benutzer zu unterstützen, einschließlich der Installation von Antivirensoftware auf allen infizierten Geräten, gefolgt von einer gründlichen Reinigung nach der Entfernung, die das Ändern von Kennwörtern und das Sperren von Bankkarten, das Ändern des Router-Administratorkennworts und das Aktualisieren der Firmware umfasst. sowie zu überprüfen, ob die DNS-Serveradresse ihres Routers mit der vom ISP ausgegebenen übereinstimmt.
Bild:Shutterstock