Roaming Mantis, uzun süredir aktif olan bir siber saldırı kampanyasıdır. Bu kampanyanın arkasındaki saldırganlar, virüslü cihazların kontrolünü ele geçirmek ve verileri çalmak için Android cihazlara uygulama yüklemek için kullanılan dosyalar olan kötü amaçlı APK dosyalarını kullanır.
Bu APK dosyaları, meşru uygulamalarla birlikte paketlenmek veya kimlik avı e-postalarında ek olarak gönderilmek gibi çeşitli yollarla yayılabilir.
Bir cihaza virüs bulaştığında, saldırganlar cihazdan aşağıdakiler gibi çeşitli türde bilgiler çalabilir:-
- Kullanıcı kimlik bilgileri
- Cihaz bilgisi
- Finansal bilgi
2022 yılı boyunca kapsamlı bir araştırma yürüten Kaspersky, söz konusu aktörün Wi-Fi yönlendiricilerine erişim elde etmek ve DNS ele geçirmesi gerçekleştirmek için bir DNS değiştirici tekniği kullandığını keşfetti.
Kötü amaçlı yazılım Wroba.o/Agent.eqAndroid cihazlarda yer aldığı bilinen , bu kampanyada birincil araç olarak kullanılmış ve daha önce gözlemlenmemiş yeni bir özelliği bünyesine kattığı tespit edilmiştir.
Enfeksiyon Akışı
Gezici peygamber devesi (diğer adıyla Shaoye), uzun süredir finansal amaçlarla Android akıllı telefon kullanıcılarını hedefliyor. Roaming Mantis, Kaspersky tarafından ilk olarak 2018’de aşağıdaki ülkeleri içeren Asya bölgesini hedef aldığında gözlemlendi:-
2018’den beri öncelikli olarak Asya bölgesini hedef alan bilgisayar korsanlığı grubunun, 2022’nin başlarında ilk kez kurbanlarının kapsamını Fransa ve Almanya’yı içerecek şekilde genişlettiği tespit edildi.
Bu, kötü amaçlı yazılımı yaygın olarak kullanılan Google Chrome web tarayıcı uygulaması olarak gizleyerek ve böylece tespit edilmekten kaçınarak başarıldı.
Bu saldırılarda kullanılan taktik, saldırının birincil yöntemi olarak, masum kurbanlara görünüşte zararsız bir bağlantının iletildiği smishing mesajlarının kullanılmasıdır.
Tıklandığında kötü amaçlı bir APK sunar veya mobil cihazda yüklü işletim sistemine göre uyarlanmış kimlik avı sayfalarına yönlendirir.
Yukarıdaki yöntemlere ek olarak, bazı saldırılar, Wi-Fi yönlendiricilerinin, saldırganların izinsiz erişim elde etmek için şüpheli olmayan kullanıcıların DNS sorgularını yakalayıp sahte açılış sayfalarına yönlendirdiği, DNS ele geçirme adı verilen bir teknikle manipüle edilmesini de kullandı. erişim.
Wroba (MoqHao ve XLoader olarak da bilinir) kötü amaçlı yazılımını dağıtmak, bu izinsiz girişlerin nihai amacıdır. Kötü amaçlı yazılım cihaza yüklendikten sonra, çok çeşitli kötü amaçlı etkinlikleri yürütme yeteneğine sahiptir.
Wroba kötü amaçlı yazılımının en yeni sürümü, hedeflenen yönlendiricilerin DNS ayarlarını değiştiren, DNS kaçırma olarak bilinen karmaşık bir teknik kullanarak belirli yönlendirici modellerini belirleme ve bunlara sızma yeteneğine sahiptir.
Bu saldırının birincil amacı, saldırıya uğramış Wi-Fi yönlendiricisine bağlı cihazları, daha fazla yararlanılabilmesi için saldırgan tarafından kontrol edilen web sayfalarına yönlendirmektir.
Wroba kötü amaçlı yazılımı, bu süreçte, diğer savunmasız yönlendiricilere erişim elde etmek için kullanılabilecek sürekli bir virüslü cihaz akışı oluşturmak için kullanılır.
İlginç bir şekilde, Güney Kore, DNS değiştirici programını kullanan tek ülkedir. Aşağıdakiler de dahil olmak üzere birçok ülkenin parçalama kampanyaları yoluyla Wroba kötü amaçlı yazılımının hedefi olduğu bildirildi:-
- Avusturya
- Fransa
- Almanya
- Hindistan
- Japonya
- Malezya
- Tayvan
- Türkiye
- Birleşik Devletler
Kötü amaçlı yazılım içeren Android cihazlar, güvenlik açıkları olan halka açık veya açık Wi-Fi ağlarına bağlanmak için yüklenirse, kötü amaçlı yazılımın aynı ağdaki diğer cihazlara yayılmasına izin verebilir.
DNS değiştirici diğer bölgelerde önemli sorunlara neden olma potansiyeline sahiptir, kısacası ciddi bir endişe kaynağıdır.
IoC’ler
Wroba.o’nun MD5’i
2036450427a6f4c39cd33712aa46d609
8efae5be6e52a07ee1c252b9a749d59f
95a9a26a95a4ae84161e7a4e9914998c
ab79c661dd17aa62e8acc77547f7bd93
d27b116b21280f5ccc0907717f2fd596
f9e43cc73f040438243183e1faf46581
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin