Haben Sie den Begriff Roaming Mantis schon mal gehört? Man könnte meinen, es habe etwas mit Telefonieren im Ausland zu tun, aber dem ist nicht so. Es handelt sich dabei um eine fiese Smishing-Masche.
Was Smishing ist, woher die neue Betrugsmasche kommt und wie sie funktioniert, erfahren Sie bei uns.
Unser Beitrag über Roaming Mantis im Überblick:
Smishing, Phishing, Roaming?
Von Roaming Mantis haben Sie bislang nichts gehört und was Smishing ist, wissen Sie auch nicht so genau? Damit Sie die Gefahr der neuen Betrugswelle rund um Roaming Mantis richtig einordnen können, klären wir zunächst die Begrifflichkeiten.
Zunächst einmal ist wichtig, dass der Begriff der Angriffswelle an sich, das Roaming Mantis, nichts mit dem Telefonieren ins Ausland zu tun hat. Allerdings dreht es sich bei der Angriffswelle um Android und Apple – Smartphones sind betroffen, aber um Telefonkosten geht es nicht.
Was ist Phishing? Das erklärt unser Ratgeber zum Thema Phishing sehr gut. Zusammenfassend geht es darum, dass Kriminelle – wie der Angler den Haken mit Wurm – einen Köder auslegen, um sensible Daten und Logins ihrer Opfer zu kapern, um deren Identität im Internet annehmen zu können.
Smishing wiederum ist Phishing per SMS. Sie erhalten Textnachrichten auf Ihrem Handy, die Sie dazu verleiten wollen, einen mitgesendeten Link anzuklicken. Ziel ist auch hier, an die persönlichen Daten der Opfer zu gelangen.
Die kriminellen Hintermänner warten nur darauf, dass Sie Ihnen an den Haken gehen. Bild: Pexels/Tima Miroshnichenko
Cyberangriff Roaming Mantis
Roaming Mantis war den Sicherheitsspezialisten von Kaspersky bereits im Jahr 2018 ein Begriff. Damals versuchten Cyberkriminelle vor allem im asiatischen Raum an sensible Daten, vor allem Banking-Login-Daten, der Opfer zu gelangen und sie so um ihr Geld zu bringen. Jetzt allerdings breitet sich die Cyberattacke aus. Aktuell sind vor allem Frankreich und Deutschland im Visier der kriminellen Hintermänner.
Roaming Mantis funktioniert dabei so, dass Malware über kompromittierte Router verbreitet wird. Betroffen sein können sowohl privat genutzte Router, als auch Firmenrouter. So infiziert sie Android-basierte Smartphones und Tablets, leitet iOS-Geräte auf Phishing-Seiten weiter und führt ein Cryptomining-Skript auf Desktops und Laptops aus.
Die Kriminellen nutzen hierfür das sogenannte DNS-Hijacking. Diese Form des Angriffs wird von Nutzern oftmals gar nicht bemerkt, weshalb sie äußerst effektiv ist. Sie dient dazu, private Daten zu stehlen. Beim DNS-Hijacking werden Sie auf eine echt aussehende Webseite mit gefälschtem Inhalt weitergeleitet. Dabei ist es egal, was Sie in die Adresszeile des Browsers eingeben.
Browser-Update führt in die Falle
Sind sie auf der gefälschten Webseite angekommen, folgt die Aufforderung, dass der Browser Chrome ein Update benötigt. Doch wer das Update ausführt, installiert sich einen Trojaner als .apk-Datei auf seinem Gerät, der allerlei Berechtigungen einfordert. Dazu gehören unter anderem der Zugriff auf Kontoinformationen und Dateien, das Senden und Empfangen von Kurznachrichten, die Verarbeitung von Sprachanrufen, das Aufzeichnen von Audios und und und. Die Liste sieht zunächst nicht verdächtig aus und wer das augenscheinliche Browser-Update für legitim hält, liest sich die Liste vermutlich nicht einmal durch.
Anschließend greift die Malware auf die Liste aller Accounts zu – mit dem Ziel herauszufinden, welches Google-Konto auf dem Gerät verwendet wird. Ein Popup informiert Sie, dass Sie sich anmelden müssen, weil etwas an Ihrem Konto nicht stimmt. Anschließend wird die Eingabe von Name und Geburtsdatum gefordert. Haben die Kriminellen die Berechtigungen erbeutet, nutzen sie das infizierte Handy, um per SMS weitere Smartphones anzugreifen.
Haben Sie eine verdächtige SMS erhalten? Löschen Sie sie sofort und klicken Sie keinesfalls auf den Link. Bild: Pexels/Andrea Piacquadio
Roaming Mantis in vielen Sprachen
Die Malware Roaming Mantis wurde mittlerweile derart weiterentwickelt, dass sie in zahlreichen Sprachen arbeiten kann, unter anderem kann er Angriff auch auf Deutsch passieren. Und nicht nur Android-Geräte sind gefährdet, auch iOS-Nutzer können zum Opfer werden. Geklaut werden dabei nicht nur die persönlichen Daten, sondern auch Fotos. Wofür die verwendet werden, ist noch nicht bekannt.
Im Falle eines Angriffs auf ein iOS-Gerät muss allerdings keine Datei heruntergeladen werden. Stattdessen werden iOS-Nutzer direkt auf eine Phishing-Seite mit Apple-relevanten Themen weitergeleitet. Dort müssen sie sich dann erneut im App Store anmelden – dabei wird in der Adressleiste die scheinbar vertrauenswürdige Adresse security.apple.com angezeigt.
Nach Eingabe der Anmeldeinformationen fragen die Kriminellen außerdem nach der Bankverbindung, anschließend startet das Krypto-Mining auf dem Smartphone. Der Ertrag landet allerdings direkt auf den Konten der Kriminellen. Ganz anders ist es allerdings, wenn Sie mit Ihrem Handy Pi Coin schürfen.
Schutz vor Roaming Mantis
Die große Gefahr, die bei Roaming Mantis besteht, ist, dass man gar nicht merkt, dass man zum Opfer geworden ist. Das Browser-Update könnte wirklich nötig sein, dass man sich das ein oder andere Mal neu einloggen muss, ist auch nichts Ungewöhnliches.
Deshalb ist es um so wichtiger, dass Sie folgende Tipps zum Schutz vor Cyberangriffen beherzigen:
- Laden Sie niemals Apps und Updates aus alternativen App-Stores herunter.
- Bedenken Sie, dass Sie auch auf dem Smartphone einen guten Antivirenschutz benötigen.
- Führen Sie regelmäßig Updates durch, um Sicherheitslücken schnell zu schließen.
- Deaktivieren Sie auf Android-Geräten die Installation von Anwendungen aus unbekannten Quellen.
- Denken Sie auch daran, Ihre Router-Software zu aktualisieren, wenn Ihr Anbieter ein Update bereitstellt.
- Verwenden Sie nur starke Passwörter.
Haben Sie einen guten Antivirenschutz auch auf Ihrem Handy? Auch auf Ihrem Diensthandy? Wenn nicht, kommen Sie, egal, ob Privatkunde oder Firmenchef unbedingt zu Ihrem PC-SPEZIALIST vor Ort und lassen Sie sich beraten. Unsere IT-Experten übernehmen natürlich auf Wunsch auch die Installation der Software. Sie haben jetzt direkt eine Frage? Nehmen Sie Kontakt auf!
Update, 24.01.2023: Manipulierte WLAN-Router
Die „Roaming Mantis“-Kampagne weitet sich aus. Mittlerweile ist die durch Roaming Mantis verbreitete Malware namens Wroba.o in der Lage, bereits kompromittierte und öffentliche WLAN-Router zu manipulieren. Die Folge: Smartphones, die solche Router nutzen, werden auf Server umgeleitet, die von Cyberkriminellen kontrolliert werden. Auf entsprechenden Webseiten angekommen, sollen Sie die Malware Wroba.o herunterladen.
Tun Sie das, können die Kriminellen Ihr Handy steuern und sensible Daten wie Login-Daten oder Kreditkarteninformationen auslesen und stehlen. Was folgt, ist ein Identitätsdiebstahl. Außerdem sind die Kriminellen durch den Zugriff auf den Router in der Lage, die Gerätekommunikation zu verwalten.
Schutz vor Wroba.o haben Sie, wenn Sie das standardmäßig eingerichtete Routerpasswort ändern und die Firmware regelmäßig aktualisieren. Da eine DNS-Changer-Funktionalität für die Ausbreitung von Roaming Mantis verantwortlich ist, sollten Sie die DNS-Einstellungen des jeweiligen Routers mittels des Benutzerhandbuchs überprüfen. PC-SPEZIALIST ist Ihnen dabei gern behilflich. Zudem sollten Sie auf den Download von Apps von Drittanbietern und alternativen App-Stores vermeiden.
_______________________________________________
Weiterführende Links: Connect, All Tech News, Securelist, Kaspersky, avg, connect
Schreiben Sie einen Kommentar