Roaming Mantis saldırı kampanyasıyla ilişkili tehdit aktörlerinin, patentli mobil kötü amaçlı yazılımlarının güncellenmiş bir varyantını sundukları gözlemlendi. Wroba Wi-Fi yönlendiricilerine sızmak ve Etki Alanı Adı Sistemini (DNS) ele geçirmek için.
Kötü amaçlı yapının bir analizini gerçekleştiren Kaspersky, özelliğin Güney Kore’de bulunan belirli Wi-Fi yönlendiricilerini hedeflemek için tasarlandığını söyledi.
Shaoye olarak da bilinen Roaming Mantis, Android akıllı telefon kullanıcılarını, banka hesabı kimlik bilgilerini çalmanın yanı sıra diğer hassas bilgileri toplama yeteneğine sahip kötü amaçlı yazılımlarla hedefleyen, uzun süredir devam eden, finansal olarak motive edilmiş bir operasyondur.
Bilgisayar korsanlığı ekibinin 2018’den beri öncelikle Asya bölgesini hedef almasına rağmen, kötü amaçlı yazılımı Google Chrome web tarayıcı uygulaması olarak kamufle ederek kurban yelpazesini ilk kez 2022’nin başlarında Fransa ve Almanya’yı içerecek şekilde genişlettiği tespit edildi.
Saldırılar, kötü amaçlı bir APK sunan veya kurbanı mobil cihazlarda yüklü işletim sistemine dayalı kimlik avı sayfalarına yönlendiren bubi tuzaklı bir URL sunmak için tercih edilen ilk izinsiz giriş vektörü olarak smishing mesajlarından yararlanır.
Alternatif olarak, bazı uzlaşmalar, hedefleri sahte sitelere yönlendirmek için DNS sorgularının manipüle edildiği, DNS ele geçirme adı verilen bir teknik kullanarak, şüphelenmeyen kullanıcıları sahte bir açılış sayfasına götürmenin bir yolu olarak Wi-Fi yönlendiricilerinden de yararlandı.
Kullanılan yöntem ne olursa olsun, izinsiz girişler, bir dizi alçakça faaliyet gerçekleştirme yeteneğine sahip olan Wroba (aka MoqHao ve XLoader) adlı bir kötü amaçlı yazılımın konuşlandırılmasının yolunu açıyor.
Rus siber güvenlik şirketine göre Wroba’ya yapılan son güncelleme, belirli yönlendiricileri model numaralarına göre algılamak ve DNS ayarlarını zehirlemek için tasarlanmış bir DNS değiştirici işlevi içeriyor.
Kaspersky araştırmacısı Suguru Ishimaru, “Yeni DNS değiştirici işlevi, güvenliği ihlal edilmiş Wi-Fi yönlendiricisini kullanarak kötü amaçlı ana bilgisayarlara yönlendirme ve güvenlik ürünleri güncellemelerini devre dışı bırakma gibi tüm cihaz iletişimlerini yönetebilir.” dedi.
Bunun altında yatan fikir, ihlal edilen Wi-Fi yönlendiricisine bağlı cihazların daha fazla istismar için tehdit aktörü tarafından kontrol edilen web sayfalarına yönlendirilmesine neden olmaktır. Bu sayfalardan bazılarının Wroba kötü amaçlı yazılımını taşıdığı göz önüne alındığında, saldırı zinciri etkili bir şekilde, sağlıklı Wi-Fi yönlendiricilerine girmek için silah haline getirilebilecek sürekli bir “bot” akışı oluşturur.
DNS değiştirici programının yalnızca Güney Kore’de kullanılması dikkat çekicidir. Bununla birlikte, Wroba kötü amaçlı yazılımının kendi içinde Avusturya, Fransa, Almanya, Hindistan, Japonya, Malezya, Tayvan, Türkiye ve ABD’deki kurbanları smishing yoluyla hedef aldığı tespit edildi.
Araştırmacı, “Ücretsiz veya halka açık Wi-Fi ağlarına bağlanan virüslü Android cihazlara sahip kullanıcılar, bağlı oldukları Wi-Fi ağı savunmasızsa, kötü amaçlı yazılımı ağdaki diğer cihazlara yayabilir” dedi.