Saldırı yöntemi
Kaspersky Lab’in elde ettiği bilgiler, Roaming Mantis’in arkasındaki saldırganların zayıf router’ları ele geçirmeyi hedeflediğini ve zararlı yazılımı bu router’ların DNS ayarlarını ele geçirerek yaydıklarını gösteriyor. Oldukça basit olan bu yöntem aynı zamanda bir o kadar da etkili. Router’ların nasıl ele geçirildiği ise henüz tam olarak bilinmiyor. DNS ele geçirildikten sonra, kullanıcılar herhangi bir websitesine girmeye çalıştığında saldırganların sunucularındaki sahte içerikleri gösteren, gerçek görünümlü URL’lere yönlendiriliyor. Bu sitelerde, “İnternette gezinme deneyiminizi iyileştirmek için Chrome’un en son sürümünü indirin.” şeklinde bir talep yer alıyor. Bağlantıya tıklandığında ‘facebook.apk’ veya ‘chrome.apk’ adlı bir Truva Atı kurulmaya başlıyor. Bu zararlı yazılımda saldırganların Android için açtığı arka kapı bulunuyor.
Roaming Mantis zararlı yazılımı cihazın “root” erişiminin açık olup olmadığını kontrol ederek kullanıcının yaptığı tüm iletişim ve gezinti faaliyetleri hakkında bildirim almayı talep ediyor.Yazılım ayrıca iki faktörlü kimlik doğrulama için kimlik bilgileri gibi birçok veriyi toplayabiliyor. Bu konuya gösterilen ilgi ve zararlı kodun Güney Kore’de popüler olan mobil bankacılık ve oyun uygulamalarına yönelik referanslar içermesi, saldırıların maddi gelir amacıyla düzenlenmiş olabileceğini gösteriyor.
Hedef bölge ve özellikler genişledi
Kaspersky Lab’in yaptığı ilk araştırmalarda yaklaşık 150 hedef ortaya çıkarıldı. Bunların büyük bir kısmı Güney Kore, Bangladeş ve Japonya’daydı. Araştırmalarda ayrıca saldırganların komut ve kontrol (C2) sunucularına her gün binlerce bağlantı geldiği de belirlendi. Bu da çok daha geniş kapsamlı bir saldırıya işaret ediyor. Zararlı yazılım Korece, basitleştirilmiş Çince, Japonca ve İngilizce dillerine destek veriyordu.
Saldırı hedefinin genişlemesiyle aralarında Lehçe, Almanca, Arapça, Bulgarca ve Rusça’nın da yer aldığı toplam 27 dile destek verilmeye başlandı.Saldırganlar ayrıca, zararlı yazılım bir iOS cihazı ile karşılaştığında kullanıcıyı Apple temalı kimlik avı sayfalarına yönlendiren bir özellik de ekledi. Saldırılara eklenen en son özellik ise bilgisayarlarda kripto madencilik yapabilen bir zararlı site oldu. Kaspersky Lab’in gözlemlerine göre daha geniş kapsama sahip olan en az bir adet saldırı dalgası düzenlendi. Birkaç gün içinde 100’den fazla Kaspersky Lab müşterisinin hedef alındığı belirlendi.
Kaspersky Lab Japonya Güvenlik Araştırmacısı Suguru Ishimaru, “Roaming Mantis’i Nisan ayında ilk kez raporladığımızda, saldırının etkin ve hızla değişen bir yapıda olduğunu belirtmiştik. Yeni kanıtlar hedef bölgeler arasına Avrupa, Orta Doğu ve daha fazlasının girdiğini gösteriyor. Saldırganların maddi gelir elde etmeyi amaçlayan siber suçlular olduğuna inanıyoruz. Bunların Çince veya Korece konuşan kişiler olduğuna dair bazı ipuçları da bulduk. Ardındaki motivasyon büyük olduğundan, saldırıların yakın zaman içinde azalacağını düşünmüyoruz. Router’lara zararlı yazılım bulaştırılması ve DNS’lerin ele geçirilmesi, sağlam cihaz koruma çözümlerine ve güvenli bağlantılara duyulan ihtiyacı gösteriyor.” dedi.
Kaspersky Lab ürünleri Roaming Mantis tehdidini ‘Trojan-Banker.AndroidOS.Wroba’ adıyla tespit ediyor
İnternet bağlantınıza bu zararlı yazılımın bulaşmasını engellemeniz için Kaspersky Lab şunları tavsiye ediyor:
•Router’ınızın kullanıcı kılavuzuna bakarak ve destek için internet servis sağlayıcınızla iletişime geçerek DNS ayarlarınızın değiştirilmediğini kontrol edin.
•Router’ın web yönetici arayüzünün varsayılan kullanıcı adı ve parolasını değiştirin. Router’ınızın yazılımını resmi kaynağından düzenli bir şekilde güncelleyin.
•Üçüncü taraf kaynaklardan router yazılımı asla kurmayın. Android cihazlarınız için üçüncü taraf kaynaklar kullanmaktan kaçının.
•Websitelerinin gerçek olup olmadığını anlamak için tarayıcınızı ve adresi her zaman kontrol edin. Veri girilmesi istendiğinde https gibi işaretler arayın.
Kaynak : 