Die Malware „Roaming Mantis“ infiziert Smartphones weltweit über Wi-Fi-Router und breitet sich rasant aus, seit sie vor wenigen Monaten erstmals entdeckt wurde.
Durch DNS-Hijacking nutzt sie kompromittierte Router, um Android-Geräte zu infizieren, iOS-Nutzer auf Phishing-Seiten umzuleiten und auf Desktops CoinHive-Krypto-Mining-Skripte auszuführen.
Ursprünglich traf sie vor allem Nutzer in Japan, Korea, China, Indien und Bangladesch. Nun unterstützt Roaming Mantis über zwei Dutzend weitere Sprachen – darunter Arabisch, Russisch und viele europäische – und erobert laut Kaspersky Lab, einem führenden Cybersicherheitsexperten, die Welt.
Kaspersky hebt hervor: Roaming Mantis setzt auf die einfachste und effektivste DNS-Hijacking-Variante. Sie kapert Router-Einstellungen und zwingt sie zu rogue DNS-Servern – Nutzer landen bei Verbindungen auf bösartigen Seiten.
Zunächst nur Android betroffen, greift sie nun auch iOS an. Android-Nutzer sollen Browser aktualisieren und laden getarnte Apps (als Chrome oder Facebook) herunter, die 2FA knacken und Google-Konten übernehmen. iOS-User werden zu einem gefälschten security.apple.com geleitet, um Credentials und Kartenangaben einzugeben.
Neueste Entdeckung: CoinHive-Mining auf Desktops und Laptops, das Prozessoren auslastet und Strom verschlingt, um Kryptowährung für die Angreifer zu schürfen.
Erstmals im März in Japan entdeckt, veröffentlichte Kaspersky letzte Monat erste Forschung. „Tausende tägliche C2-Verbindungen, meist koreanisch“, berichtet Forscher Suguru Ishimaru. Der Name „Roaming Mantis“ spiegelt die Verbreitung über roamende Smartphones wider.
98 % der Opfer waren anfangs koreanisch, später kamen Chinesisch, Englisch und Japanisch hinzu. Mit 24 neuen Sprachen wird die globale Reichweite maximiert.
Malware-Bedrohungen wachsen: Symantec fand kürzlich bösartige Apps im Play Store, die sich durch Namensänderungen tarnen. Krypto-Jacking explodierte um 8.500 % seit Q4 2017.
Kaspersky rät: Antiviren-Software installieren, Geräte reinigen, Passwörter ändern, Karten sperren, Router-Admin-Passwort und Firmware updaten, DNS auf ISP-Standard prüfen.
Bild: Shutterstock