Kaspersky meldet Wroba.o an Google wegen DNS-Hijacking
Kaspersky hat eine neue bösartige App mit dem Namen Wroba.o entdeckt, die DNS-Hijacking nutzt, um persönliche und finanzielle Daten der Opfer zu stehlen. Die im Google Play Store entdeckte App tarnt sich als legitime Anwendung und ist darauf zugeschnitten, den Datenverkehr auf Phishing-Websites oder andere bösartige Domains umzuleiten.
Die App soll von einer Gruppe namens Roaming Mantis entwickelt worden sein. Das DNS-Hijacking wurde Berichten zufolge so konzipiert, dass es nur dann funktioniert, wenn Geräte die mobile Version einer gefälschten Website besuchen, höchstwahrscheinlich um sicherzustellen, dass die Kampagne unentdeckt bleibt.
DNS (Domain Name System) Hijacking ist eine Technik, die von der bösartigen App verwendet wird. Nach der Installation stellt die App eine Verbindung zum Router her und versucht, sich unter Verwendung von Standard- oder häufig verwendeten Anmeldedaten wie admin:admin bei dessen Administratorkonto anzumelden. Wenn die App erfolgreich ist, ändert sie den DNS-Server in einen, der von den Angreifern kontrolliert wird. Geräte im Netzwerk können dann auf gefälschte Websites geleitet werden, die legitim aussehen, aber Malware verbreiten oder Benutzeranmeldeinformationen oder andere sensible Daten aufzeichnen.
DNS-Hijacking ist eine Technik, bei der ein Angreifer die Einstellungen des Domain Name System (DNS) einer Website ändert und den für eine legitime Website bestimmten Datenverkehr auf eine bösartige Website umleitet. Die Hacker kompromittieren bei dieser Kampagne DNS-Server und leiten die Opfer auf gefälschte Anmeldeseiten oder andere Phishing-Seiten um, um persönliche und finanzielle Informationen zu stehlen.
Den Forschern zufolge waren die Hacker bei ihren Angriffen auf kleine und mittlere Unternehmen sowie auf Privatpersonen besonders erfolgreich. Um nicht entdeckt zu werden, setzen sie eine Reihe von Strategien ein, darunter die Verwendung mehrerer Domänen und IP-Adressen sowie verschlüsselten Datenverkehrs, um ihre Aktivitäten zu verschleiern.
Laut den Forschern wurde die bösartige App von einer großen Anzahl von Nutzern heruntergeladen, bevor sie entdeckt und aus dem Google Play Store entfernt wurde. Kaspersky hat den Vorfall auch dem Sicherheitsteam von Google und den zuständigen Behörden gemeldet, damit diese entsprechende Maßnahmen ergreifen und die Verbreitung der App verhindern können.
Die Forscher sagen: "Benutzer verbinden infizierte Android-Geräte mit freiem/öffentlichem WLAN an Orten wie Cafés, Bars, Bibliotheken, Hotels, Einkaufszentren und Flughäfen. Wenn die Android-Malware mit einem gezielten Wi-Fi-Modell mit anfälligen Einstellungen verbunden wird, kompromittiert sie den Router und wirkt sich auch auf andere Geräte aus. Auf diese Weise kann sie sich in den Zielregionen weit verbreiten."
Zu den Quellen für diesen Beitrag gehört ein Artikel in ArsTechnica.