Bedrohungsakteure, die mit der Roaming Mantis-Angriffskampagne in Verbindung stehen, wurden dabei beobachtet, wie sie eine aktualisierte Variante ihrer patentierten mobilen Malware mit dem Namen Wroba auslieferten, um Wi-Fi-Router zu infiltrieren und das Domain Name System(DNS) zu kapern.
Laut Kaspersky, das das bösartige Artefakt analysiert hat, zielt die Funktion auf bestimmte Wi-Fi-Router in Südkorea ab.
Roaming Mantis, auch bekannt als Shaoye, ist eine seit langem laufende, finanziell motivierte Operation, die Android-Smartphone-Nutzer/innen mit Malware angreift, um Bankdaten zu stehlen und andere sensible Informationen abzugreifen.
Obwohl die Hacker seit 2018 in erster Linie auf den asiatischen Raum abzielen, wurde Anfang 2022 zum ersten Mal eine Ausweitung des Opferkreises auf Frankreich und Deutschland entdeckt, indem die Malware als Google Chrome Webbrowser getarnt wurde.
Die Angriffe nutzen Smishing-Nachrichten als anfänglichen Einbruchsvektor, um eine gefälschte URL zu übermitteln, die entweder eine bösartige APK anbietet oder das Opfer auf Phishing-Seiten umleitet, die auf dem auf den mobilen Geräten installierten Betriebssystem basieren.
Alternativ dazu wurden bei einigen Angriffen auch Wi-Fi-Router ausgenutzt, um ahnungslose Nutzer auf eine gefälschte Landing Page zu leiten. Dabei wird eine Technik namens DNS-Hijacking angewandt, bei der DNS-Anfragen manipuliert werden, um das Ziel auf gefälschte Seiten umzuleiten.
Unabhängig von der verwendeten Methode ebnen die Eindringlinge den Weg für die Verbreitung einer Malware namens Wroba (auch bekannt als MoqHao und XLoader), die eine Reihe von schändlichen Aktivitäten durchführen kann.
Nach Angaben des russischen Cybersecurity-Unternehmens beinhaltet das neueste Update von Wroba eine DNS-Änderungsfunktion, die bestimmte Router anhand ihrer Modellnummern erkennt und ihre DNS-Einstellungen vergiftet.
„Die neue DNS-Änderungsfunktion kann die gesamte Gerätekommunikation über den kompromittierten Wi-Fi-Router steuern, z. B. die Umleitung zu bösartigen Hosts und die Deaktivierung von Updates für Sicherheitsprodukte“, so Kaspersky-Forscher Suguru Ishimaru.
Die Idee dahinter ist, dass Geräte, die mit dem angegriffenen WLAN-Router verbunden sind, auf Webseiten umgeleitet werden, die von dem Bedrohungsakteur kontrolliert werden, um sie weiter auszunutzen. Da einige dieser Seiten die Wroba-Malware ausliefern, erzeugt die Angriffskette einen stetigen Strom von „Bots“, die als Waffe eingesetzt werden können, um in gesunde Wi-Fi-Router einzubrechen.
Es ist bemerkenswert, dass das DNS-Changer-Programm ausschließlich in Südkorea verwendet wird. Die Wroba-Malware selbst wurde jedoch in Österreich, Frankreich, Deutschland, Indien, Japan, Malaysia, Taiwan, der Türkei und den USA gesichtet, wo sie Opfer über Smishing angreift.
„Nutzer mit infizierten Android-Geräten, die sich mit freien oder öffentlichen Wi-Fi-Netzwerken verbinden, können die Malware auf andere Geräte im Netzwerk verbreiten, wenn das Wi-Fi-Netzwerk, mit dem sie verbunden sind, anfällig ist“, so der Forscher.