Roaming Mantis kötü amaçlı yazılım dağıtım kampanyası, Android kötü amaçlı yazılımını, enfeksiyonu diğer cihazlara yaymak için savunmasız WiFi yönlendiricilerindeki DNS ayarlarını değiştiren bir DNS değiştirici içerecek şekilde güncelledi.
Eylül 2022’den itibaren araştırmacılar, Wroba.o/XLoader Android kötü amaçlı yazılımının modellerine göre savunmasız WiFi yönlendiricilerini algılayan ve DNS’lerini değiştiren yeni bir sürümünü kullanan “Roaming Mantis” kimlik bilgisi hırsızlığı ve kötü amaçlı yazılım dağıtım kampanyasını gözlemledi.
Kötü amaçlı yazılım daha sonra savunmasız bir WiFi yönlendiricisinin DNS ayarlarını ele geçirmek için bir HTTP isteği oluşturarak bağlı cihazların kimlik avı formları barındıran veya Android kötü amaçlı yazılımlarını bırakan kötü amaçlı web sayfalarına yönlendirilmesine neden olur.
Güncellenmiş Wroba.o/XLoader Android kötü amaçlı yazılım çeşidi, yıllardır Roaming Mantis etkinliğini izleyen Kaspersky araştırmacıları tarafından keşfedildi. Kaspersky, Roaming Mantis’in en az 2018’den beri DNS ele geçirme yöntemini kullandığını, ancak en son kampanyadaki yeni unsurun, kötü amaçlı yazılımın belirli yönlendiricileri hedef alması olduğunu açıklıyor.
Bu güncellenmiş kötü amaçlı yazılımın kullanıldığı en güncel kampanya, esas olarak Güney Kore’de kullanılan belirli WiFi yönlendirici modellerini hedefliyor. Yine de bilgisayar korsanları, diğer ülkelerde yaygın olarak kullanılan yönlendiricileri dahil etmek için istedikleri zaman değiştirebilirler.
Bu yaklaşım, tehdit aktörlerinin diğer tüm durumlarda tespit edilmekten kaçınırken daha hedefli saldırılar gerçekleştirmesine ve yalnızca belirli kullanıcıları ve bölgeleri tehlikeye atmasına olanak tanır.
Önceki Roaming Mantis kampanyaları Japonya, Avusturya, Fransa, Almanya, Türkiye, Malezya ve Hindistan’daki kullanıcıları hedefliyordu.
Yeni bir yönlendirici DNS değiştirici
En son Roaming Mantis kampanyaları, hedefleri kötü amaçlı bir web sitesine yönlendirmek için SMS kimlik avı metinleri (smishing) kullanır.
Kullanıcının mobil cihazı Android ise, kullanıcıdan Wroba.o/XLoader kötü amaçlı yazılımı olan kötü amaçlı Android APK’sını yüklemesini ister. Bunun yerine açılış sayfası, iOS kullanıcılarını kimlik bilgilerini çalmaya çalışan bir kimlik avı sayfasına yönlendirecektir.
XLoader kötü amaçlı yazılımı kurbanın Android cihazına yüklendikten sonra, bağlı WiFi yönlendiricisinden varsayılan ağ geçidi IP adresini alır. Ardından, cihaz modelini keşfetmek için varsayılan bir parola kullanarak yönetici web arayüzüne erişmeye çalışır.
XLoader artık belirli WiFi yönlendirici modellerini algılamak için kullanılan 113 sabit kodlu dizi içeriyor ve bir eşleşme varsa kötü amaçlı yazılım, yönlendiricinin ayarlarını değiştirerek DNS ele geçirme adımını gerçekleştiriyor.
Kaspersky, DNS değiştiricinin yönlendiriciye erişmek için varsayılan kimlik bilgilerini (admin/admin) kullandığını ve ardından algılanan modele bağlı olarak farklı yöntemler kullanarak DNS ayarlarında değişiklikler gerçekleştirdiğini söylüyor.
Analistler ayrıca, Roaming Mantis tarafından kullanılan DNS sunucusunun, bir mobil cihazdan erişildiğinde yalnızca belirli alan adlarını belirli açılış sayfalarına çözümlediğini ve bunun muhtemelen güvenlik araştırmacılarından saklanmak için bir taktik olduğunu açıklıyor.
enfeksiyonun yayılması
Yönlendiricinin DNS ayarları artık değiştirildiğinden, diğer Android cihazları WiFi ağına bağlandığında kötü amaçlı açılış sayfasına yönlendirilecek ve kötü amaçlı yazılımı yüklemeleri istenecektir.
Bu, ülkedeki çok sayıda insana hizmet veren genel ağlardaki temiz WiFi yönlendiricilerini daha fazla ihlal etmek için sürekli bir virüslü cihaz akışı oluşturur.
Kaspersky, bu olasılığın Roaming Mantis kampanyasına “kasıtlı olarak zincirlenmemiş” bir özellik kazandırdığı ve kötü amaçlı yazılımın sıkı kontrol olmadan yayılmasına izin verdiği konusunda uyarıda bulunuyor.
ABD merkezli hedefler için herhangi bir açılış sayfası olmamasına ve Roaming Mantis’in ülkede kullanılan yönlendirici modellerini aktif olarak hedeflediği görülmemesine rağmen, Kaspersky’nin telemetrisi tüm XLoader kurbanlarının %10’unun ABD’de olduğunu gösteriyor.
Kullanıcılar, SMS yoluyla gelen bağlantılara tıklamaktan kaçınarak Roaming Mantis kampanyalarından korunabilirler. Ancak daha da önemlisi, APK’ları Google Play dışında yüklemekten kaçının.