Woburn, MA – 19 Ocak 2023 – Bugün Kaspersky araştırmacılar bildirildi kötü şöhretli Roaming Mantis kampanyasında kullanılan yeni bir alan adı sistemi (DNS) değiştirici işlevinde. Siber suçlular, daha fazla Android akıllı telefona kampanyanın Wroba.o kötü amaçlı yazılımını bulaştırmak için güvenliği ihlal edilmiş halka açık Wi-Fi yönlendiricilerini kullanabileceklerini gösterdiler. Saldırganlar, yeni tekniği Güney Kore’deki kullanıcılara karşı kullandı, ancak yakında diğer ülkelerde de uygulanabilir.
Roaming Mantis (namı diğer Shaoye), Kaspersky tarafından ilk kez 2018’de gözlemlenen bir siber suç kampanyasıdır. Virüs bulaşmış Android cihazlarını kontrol etmek ve cihaz bilgilerini çalmak için kötü amaçlı Android paketi (APK) dosyaları kullanır. Ayrıca, iOS cihazları için bir kimlik avı seçeneği ve PC’ler için kripto madenciliği yetenekleri vardır. Kampanyanın adı, potansiyel olarak enfeksiyonu taşıyan ve yayan Wi-Fi ağları arasında dolaşan akıllı telefonlar aracılığıyla yayılmasına dayanmaktadır.
Genel yönlendiriciler aracılığıyla daha fazla kullanıcıya saldırmak için yeni DNS değiştirici işlevi
Kaspersky, Roaming Mantis’in kısa bir süre önce, öncelikli olarak kampanyada kullanılan kötü amaçlı yazılım olan Wroba.o’da (Agent.eq, Moqhao, XLoader olarak da bilinir) bir alan adı sistemi (DNS) değiştirici işlevi sunduğunu keşfetti. DNS değiştirici, güvenliği ihlal edilmiş bir Wi-Fi yönlendiricisine bağlı cihazı meşru bir DNS sunucusu yerine siber suçluların kontrolündeki bir sunucuya yönlendiren kötü amaçlı bir programdır. Kötü niyetli açılış sayfasında, potansiyel kurbandan cihazı kontrol edebilecek veya kimlik bilgilerini çalabilecek kötü amaçlı yazılım indirmesi istenir.
Şu anda, Roaming Mantis’in arkasındaki tehdit aktörü, yalnızca Güney Kore’de bulunan ve çok popüler bir Güney Koreli ağ ekipmanı satıcısı tarafından üretilen yönlendiricileri hedefliyor. Bunları tanımlamak için, yeni DNS değiştirici işlevi, yönlendiricinin IP adresini alır ve yönlendiricinin modelini kontrol ederek, DNS ayarlarının üzerine yazarak hedeflenenleri tehlikeye atar. Aralık 2022’de Kaspersky, ülkede 508 kötü amaçlı APK indirmesi gözlemledi (bkz. Tablo 1).
Kötü niyetli açılış sayfaları üzerinde yapılan bir araştırma, saldırganların DNS değiştiriciler yerine smishing kullanarak diğer bölgeleri de hedeflediklerini ortaya çıkardı. Bu teknik, kurbanı cihaza kötü amaçlı yazılım indirmek veya bir kimlik avı web sitesi aracılığıyla kullanıcı bilgilerini çalmak üzere kötü amaçlı bir siteye yönlendiren kötü amaçlı bağlantıları yaymak için metin mesajları kullanır. Japonya, siber suçlular tarafından oluşturulan iniş noktalarından yaklaşık 25.000 kötü amaçlı APK indirmesiyle hedef ülkeler listesinin başında yer aldı. Avusturya ve Fransa, her biri yaklaşık 7.000 indirme ile izledi. Listeyi Almanya, Türkiye, Malezya ve Hindistan tamamladı. Kaspersky araştırmacıları, faillerin yakında DNS değiştirici işlevini bu bölgelerdeki Wi-Fi yönlendiricilerini hedef alacak şekilde güncelleyebileceğini tahmin ediyor.
| Ülke | İndirilen kötü amaçlı APK sayısı |
| Japonya | 24.645 |
| Avusturya | 7.354 |
| Fransa | 7.246 |
| Almanya | 5.827 |
| Güney Kore | 508 |
| Türkiye | 381 |
| Malezya | 154 |
| Hindistan | 28 |
Tablo 1. Aralık 2022’nin ilk yarısında Roaming Mantis kampanyasında oluşturulan kötü amaçlı açılış sayfalarının araştırılmasına dayalı olarak ülke başına kötü amaçlı APK indirme sayısı
Eylül – Aralık 2022 tarihli Kaspersky Security Network (KSN) istatistiklerine göre, Wroba.o kötü amaçlı yazılımının (Trojan-Dropper.AndroidOS.Wroba.o) en yüksek tespit oranı Fransa (%54,4), Japonya (%12,1) ve ABD (%10.1).
“Virüslü bir akıllı telefon kafeler, barlar, kütüphaneler, oteller, alışveriş merkezleri, havaalanları ve hatta evler gibi çeşitli halka açık yerlerdeki ‘sağlıklı’ yönlendiricilere bağlandığında, Wroba.o kötü amaçlı yazılımı bu yönlendiricileri tehlikeye atabilir ve diğer bağlı cihazları da etkileyebilir.” Kaspersky Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru, dedi. “Yeni DNS değiştirici işlevi, güvenliği ihlal edilmiş Wi-Fi yönlendiricisini kullanarak kötü amaçlı ana bilgisayarlara yönlendirme ve güvenlik ürünleri güncellemelerini devre dışı bırakma gibi tüm cihaz iletişimlerini yönetebilir. Bu keşfin Android cihazların siber güvenliği için son derece kritik olduğuna inanıyoruz çünkü hedeflenen bölgelerde geniş çapta yayılabilir.”
Yeni uygulanan DNS değiştirici işlevi hakkındaki raporun tamamını okumak için lütfen şu adresi ziyaret edin: Securelist.com.
İnternet bağlantınızı bu enfeksiyondan korumak için Kaspersky araştırmacıları şunları önermektedir:
- DNS ayarlarınızın kurcalanmadığını doğrulamak için yönlendiricinizin kullanım kılavuzuna bakın veya destek için ISP’nizle iletişime geçin.
- Yönlendiricinin yönetici web arayüzü için varsayılan kullanıcı adını ve parolayı değiştirin ve yönlendiricinizin donanım yazılımını resmi kaynaktan düzenli olarak güncelleyin.
- Hiçbir zaman üçüncü taraf kaynaklardan yönlendirici ürün yazılımı yüklemeyin. Android cihazlarınız için üçüncü taraf depoları kullanmaktan kaçının.
- Ayrıca, meşru olduklarından emin olmak için her zaman tarayıcı ve web sitesi adreslerini kontrol edin; veri girmeniz istendiğinde https gibi işaretleri arayın.
- gibi bir mobil güvenlik çözümü kurmayı düşünün. Kasperskycihazlarınızı bu ve diğer tehditlerden korumak için.
Kaspersky Hakkında
Kaspersky, 1997 yılında kurulmuş küresel bir siber güvenlik ve dijital gizlilik şirketidir. Kaspersky’nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumak için sürekli olarak yenilikçi güvenlik çözümlerine ve hizmetlerine dönüşmektedir. Şirketin kapsamlı güvenlik portföyü, gelişmiş ve gelişen dijital tehditlerle mücadele etmek için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı Kaspersky teknolojileri tarafından korunmaktadır ve 240.000 kurumsal müşterinin kendileri için en önemli olanı korumalarına yardımcı oluyoruz. adresinde daha fazla bilgi edinin usa.kaspersky.com.
