Kaspersky araştırmacıları, Roaming Mantis operasyonunda kullanılan yeni bir DNS değiştirici işlevini raporladı. Bu rapora göre siber suçlular, Android akıllı telefonlara kötü amaçlı “Wroba.o” yazılımını bulaştırmak için kafeler, barlar, kütüphaneler, oteller, alışveriş merkezleri, havaalanları ve hatta evler gibi çeşitli halka açık alanlarda güvenliği ihlal edilmiş Wi-Fi yönlendiricilerini kullanabiliyorlar. Raporda u yeni tekniğin şimdilik Güney Kore’deki kullanıcıları hedeflese de çok yakında diğer ülkelerde de karşımıza çıkabileceği belirtiliyor.
Roaming Mantis (Shaoye olarak da biliniyor), Kaspersky tarafından ilk kez 2018’de gözlemlenen bir siber suç kampanyasının veya operasyonunun adı. Virüs bulaşmış Android cihazlarını yönetmek ve cihazdaki gizli bilgileri çalmak için kötü amaçlı Android paketi (APK) dosyalarını kullanıyor. Ayrıca, iOS cihazları için bir kimlik avı seçeneğine ve PC’ler için kripto madenciliği özelliklerine de sahip olduğu biliniyor. Bu kampanyanın adı, potansiyel olarak enfeksiyonu taşıyan ve yayan Wi-Fi ağlarında dolaşan akıllı telefonlar aracılığıyla yayılmasından kaynaklanıyor.
Herkesin kullanımına açık router’lar ve yeni DNS değiştirici işlevi
Kaspersky, kısa bir süre önce Roaming Mantis’in, kampanyada kullanılan kötü amaçlı yazılım Wroba.o (a.k.a Agent.eq, Moqhao, XLoader) üzerinden yeni bir DNS değiştirici işlevi sunduğunu keşfetti. DNS değiştiriciyi, güvenliği ihlal edilmiş bir Wi-Fi yönlendiricisine bağlı olan cihazınızı, yasal bir DNS sunucusu yerine siber suçluların kontrolündeki başka bir sunucuya yönlendiren, kötü amaçlı bir program olarak adlandırabiliriz. Bu senaryoda, potansiyel kurbanın cihazı kontrol edebilecek veya kimlik bilgilerini çalabilecek kötü amaçlı bir yazılımı, karşısına çıkan açılış sayfasından indirmesi isteniyor.
Şu anda, Roaming Mantis’in arkasındaki saldırganlar, yalnızca Güney Kore’de bulunan ve çok popüler bir Güney Koreli ağ ekipmanı satıcısı tarafından üretilen yönlendiricileri hedefliyor. Aralık 2022’de Kaspersky, ülkede 508 kötü amaçlı APK indirmesi gözlemledi.
Kötü niyetli sayfalar üzerinde yapılan bir araştırma, saldırganların DNS değiştiriciler yerine smishing yöntemini kullanarak diğer bölgeleri de hedeflediklerini ortaya çıkarttı. Bu teknikte, kurbanı cihaza kötü amaçlı yazılım indirmek veya kullanıcı bilgilerini çalmak üzere bir phishing sitesine yönlendiren bağlantıları yaymak adına metin mesajları kullanılıyor.
Eylül – Aralık 2022 tarihli Kaspersky Security Network (KSN) istatistiklerine göre, Wroba.o kötü amaçlı yazılımının (Trojan-Dropper.AndroidOS.Wroba.o) en yüksek tespit oranı Fransa (yüzde 54,4), Japonya (yüzde 12,1) ve ABD (yüzde 10,1)’de gerçekleşti.