Kaspersky analistleri, Roaming Mantis harekâtında kullanılan yeni bir DNS değiştirici işlevini raporladı. Bu rapora göre siber kabahatliler, Android akıllı telefonlara kötü emelli “Wroba.o” yazılımını bulaştırmak için kafeler, barlar, kütüphaneler, oteller, alışveriş merkezleri, havaalanları ve hatta konutlar gibi muhtelif halka açık alanlarda güvenliği ihlal edilmiş Wi-Fi yönlendiricilerini kullanabiliyorlar. Raporda u yeni tekniğin şimdilik Güney Kore ’deki kullanıcıları amaçlasa da çok yakında öbür ülkelerde de karşımıza çıkabileceği belirtiliyor. 

Roaming Mantis Shaoye olarak da öğreniliyor, Kaspersky tarafından şehirk kez 2018 ’de gözlemlenen bir siber kabahat kampanyasının veya harekâtının ismi. Virüs bulaşmış Android makinelerini idaremek ve cihazdaki saklı bilgileri çalmak için kötü emelli Android paketi APK dosyalarını kullanıyor. Ayrıca, iOS makineleri için bir kimlik avı alternatifine ve PC ’ler için kripto madenciliği özelliklerine de sahip olduğu öğreniliyor. Bu kampanyanın ismi, potansiyel olarak enfeksiyonu taşıyan ve yayan Wi-Fi ağlarında gezen akıllı telefonlar aracılığıyla dağılmasından kaynaklanıyor.

Herkesin kullanımına açık router ’lar ve yeni DNS değiştirici işlevi

Kaspersky, kısa bir müddet evvel Roaming Mantis ’in, kampanyada kullanılan kötü emelli yazılım Wroba.o  a.k.a Agent.eq, Moqhao, XLoader üzerinden yeni bir DNS değiştirici işlevi sunduğunu keşfetti. DNS değiştiriciyi, güvenliği ihlal edilmiş bir Wi-Fi yönlendiricisine bağlı olan makinenizi, legal bir DNS sunucusu yerine siber kabahatlilerin kontrolündeki başka bir sunucuya yönlendiren, kötü emelli bir program olarak adlandırabiliriz. Bu senaryoda, potansiyel kurbanın makineyi kontrol edebilecek veya kimlik bilgilerini çalabilecek kötü emelli bir yazılımı, karşısına çıkan açılış sayfasından indirmesi isteniyor.

Şu anda, Roaming Mantis ’in arkasındaki saldırganlar, sadece Güney Kore ’de bulunan ve çok popüler bir Güney Koreli ağ ekipmanı satıcısı tarafından üretilen yönlendiricileri kastediyor. Aralık 2022 ’de Kaspersky, ülkede 508 kötü emelli APK indirmesi gözlemledi. 

Kötü amaçlı sayfalar üzerinde yapılan bir araştırma, saldırganların DNS değiştiriciler yerine smishing yöntemini kullanarak öbür bölgeleri de hedeflediklerini ortaya çıkarttı. Bu teknikte, kurbanı aygıta kötü emelli yazılım indirmek veya kullanıcı bilgilerini çalmak üzere bir phishing sitesine yönlendiren iletişimleri yaymak ismine metin iletileri kullanılıyor.

Eylül – Aralık 2022 tarihli Kaspersky Security Network KSN istatistiklerine göre, Wroba.o kötü emelli yazılımının Trojan-Dropper.AndroidOS.Wroba.o en yüksek tespit oranı Fransa %54,4, Japonya %12,1 ve Amerika Birleşik Devletleri %10,1 ’de gerçekleşti.

Kaspersky Kıdemli Tehlikesizk Tahlilcisi Suguru Ishimaru konuyla alakalı olarak “Virüslü bir akıllı telefon kafeler, barlar, kütüphaneler, oteller, alışveriş merkezleri, havaalanları ve hatta konutlar gibi muhtelif halka açık yerlerdeki ‘sağlıklı ’ router ’lara bağlandığında, Wroba.o kötü emelli yazılımı bu router ’ları tehlikeye atabilir ve ona bağlı aygıtları da etkileyebilir. Yeni DNS değiştirici işlevi, güvenliği ihlal edilmiş Wi-Fi router ’ını kullanarak kötü emelli ana bilgisayarlara manipülasyon ve tehlikesizk aktüellemelerini devre dışı bırakma gibi neredeyse tüm aygıt seçimlerine idareyebiliyor. Bu keşfin Android aygıtların siber güvenliği için son derece kritik olduğuna inanıyoruz çünkü kastedilen bölgelerde geniş çapta dağılma potansiyeline sahip” yorumunu yaptı.

Yeni DNS değiştirici işlevi hakkındaki raporun tamamını okumak için Securelist.com adresini ziyaret edebilirsiniz.

İnternet irtibatınızı bu enfeksiyondan korumak için Kaspersky analistleri şunları önermektedir:

DNS ayarlarınızın kurcalanmadığını doğrulamak için router ’ınızın kullanım kılavuzuna bakın veya destek için internet servis sağlayıcınız ile bağlantıya geçin. Router ’ınızın web arayüzü için kullanılan zannedilen kullanıcı ismini ve şifreyi değiştirin ve firmware yazılımını resmi kaynaktan kumpaslı olarak aktüelleyin. Hiçbir zaman üçüncü taraf kaynaklardan router yazılımı yüklemeyin. Android makineleriniz için de üçüncü parti mağazaları kullanmaktan kaçının. Ayrıca, tehlikesiz olduklarından emin olmak için her zaman tarayıcı ve web sitesi adreslerini kontrol edin; bilgi girmeniz istendiğinde https:// tehlikesiz iletişim olduğunu teyit etmeyi unutmayın.. Makinelerinizi bu ve öbür tehditlerden korumak için Kaspersky Premium gibi bir mobil tehlikesizk çözümü kullanın.

Kaynak: adamnedio.com