Das russische Softwareunternehmen Kaspersky warnt vor neuen Cyberattacken aus Fernost. Die auf Sicherheits-Software spezialisierte Firma sieht eine Bedrohung durch sogenannte 'Roaming Mantis'.
Das russische Softwareunternehmen Kaspersky warnt vor neuen Cyberattacken aus Fernost. Die auf Sicherheits-Software spezialisierte Firma sieht eine Bedrohung durch sogenannte "Roaming Mantis". Die Hintermänner haben ihre Attacken nun auf Europa und den Nahen Osten ausgeweitet. Die eingesetzte Malware wird auch in deutscher Sprache in Umlauf gebracht.
Zudem sind nicht mehr ausschließlich nur Android-Nutzer betroffen. Das Angriffsarsenal beinhaltet unter anderem eine iOS-Phishing-Option sowie einen Krypto-Miner für PCs. Die Malware wird über kompromittierte Router und DNS-Hijacking verbreitet. Im Visier der Cyberkriminellen sind in erster Linie Nutzerdaten inklusive Zugangsdaten, über die sich die Angreifer die vollständige Kontrolle über befallene Geräte verschaffen.
Kaspersky Lab vermutet hinter den Cyberkriminellen eine profitorientierte koreanisch- oder chinesischsprachige Gruppe. Laut den Experten versuchen die Hintermänner von Roaming Mantis, ungeschützte Router zu kompromittieren. Sie nutzen einen sehr einfachen, aber wirkungsvollen Trick zur Verbreitung ihrer Malware: DNS-Hijacking. Wurde ein Router erfolgreich übernommen, führen sämtliche Versuche der Anwender, Webseiten aufzurufen, zur Anzeige einer echt aussehenden Webseite mit gefälschtem Inhalt, die auf dem Server der Angreifer liegt.
Dort werden die Nutzer dann aufgefordert, zur Verbesserung der Funktionalität ihres Browsers einen Upload auf die neueste Version von Chrome durchzuführen. Wird der dort präsentierte Link angeklickt, erfolgt die Installation eines Trojaners mit Namen "facebook.apk" oder "chrome.apk", der eine Android-Backdoor enthält. Noch ist nicht bekannt, wie die Router infiziert wurden.
"Die neuen Erkenntnisse zeigen, dass eine dramatische Ausweitung des Operationsgebiets auch nach Europa und in den Nahen Osten stattgefunden haben muss", sagt sagt Suguru Ishimaru, Security Researcher bei Kaspersky Lab in Japan. "Wir halten die Angreifer für Cyberkriminelle, die es auf finanzielle Vorteile abgesehen haben, und viele Hinweise deuten auf eine Gruppe aus dem chinesischen oder koreanischen Sprachraum." Offensichtlich verfolge die Bedrohung ein klar definiertes Ziel, was ein Abebben in nächster Zeit unwahrscheinlich mache.
Die Experten geben auch Tipps zum Schutz der Geräte: Beispielsweise sollte man sich mit Hilfe des Router-Handbuchs versichern, dass die DNS-Einstellungen nicht manipuliert wurden. Gegebenenfalls muss der Internet Service Provider kontaktiert werden.
Voreingestellte Zugangsdaten (Login und Passwort) für das Webinterface zur Router-Administration sollten geändert werden. Die Firmware des Routers muss regelmäßig über die offiziellen Quellen auf den neuesten Stand gebracht werden. Man sollte zudem nie Router-Firmware von Drittanbietern installieren. Außerdem wäre es besser, von Drittanbieter-Repositorys für Android-Geräte die Finger zu lassen.
Außerdem ist es ratsam, Browser und die Adressen von Websites auf ihre Legitimation zu prüfen. Vor der Eingabe von Daten sollte man auf Anzeichen einer sicheren Verbindung achten (zum Beispiel https). Natürlich rät Kaspersky auch zur Installation einer Sicherheitslösung für Mobiltelefon.
