Wroba-Trojaner
Der Wroba-Trojaner ist eine mobile Trojaner-Bedrohung, die seit mindestens 2013 gegen Benutzer in Japan, Korea und anderen Orten in der Region eingesetzt wird. Die Hacker, die hinter dieser Malware-Bedrohung stehen, haben sie nun mit mehreren modernen Techniken ausgestattet und gegen Benutzer in den USA zum ersten Mal eingesetzt, wobei sie eine deutliche Erweiterung seiner Reichweite gezeigt haben.
Die ersten Versionen von Wroba gaben vor, eine legitime Google Play Store-Anwendung zu sein, während spätere Iterationen die DNS-Einstellungen kompromittierter Router missbrauchten, um die Benutzer an beschädigte Websites zu senden. Der neueste Verteilungsvektor für den Wroba-Trojaner ist das sogenannte "Smishing" - Phishing-SMS. Die Hacker senden gefälschte Paketlieferungsbenachrichtigungen, die die Nachrichten von legitimen Paketzustelldiensten nachahmen sollen, die für jedes angegriffene Land spezifisch sind.
Der Wroba-Trojaner wird noch von den Hackern entwickelt
Der Wroba-Trojaner kann iOS- und Android-Geräte betreffen, seine Ziele sind jedoch für die beiden mobilen Umgebungen unterschiedlich. Wenn die Android-Benutzer in der gefälschten Benachrichtigung über die Paketzustellung auf den Link klicken, werden sie zu einer beschädigten Website weitergeleitet, auf der versucht wird, sie zum Herunterladen der Malware zu verleiten, die diesmal als vermeintliches Browser-Update getarnt ist. Die Website behauptet, dass der Browser des gefährdeten Geräts veraltet ist und sofort aktualisiert werden muss. Diese Verteilungsmethode funktioniert jedoch nicht auf iOS-Geräten. Stattdessen leitet Wroba die Benutzer zu einer Phishing-Seite weiter, die so erstellt wurde, dass sie einer Apple-Anmeldeseite ähnelt, wie bei einem möglichen Versuch, ihre Apple-ID-Anmeldeinformationen zu sammeln.
Wenn es dem Wroba-Trojaner gelingt, ein Gerät erfolgreich zu infiltrieren, kann er eine Vielzahl schädlicher Funktionen ausführen. Der Trojaner kann auf die Kontaktlisten des Benutzers zugreifen, installierte Pakete auflisten, Anmeldeseiten für verschiedene Bankinstitute mit Phishing-Seiten überlagern, um Kontoanmeldeinformationen zu sammeln, Finanztransaktionsdetails abzurufen und zu versuchen, sich durch das Senden gefälschter SMS-Nachrichten weiter zu verbreiten.
Während der Wromba-Trojaner im Kern die Funktionalität einer typischen mobilen Malware aufweist, zeigen die neuesten Versionen, dass die dahinter stehenden Hacker sie noch aktualisieren. Beispielsweise zeigt Wroba einige selten gesehene Techniken wie die Verwendung des MessagePack-Formats und der DES-Verschlüsselung, um den Kommunikationsverkehr zu seiner Command-and-Control-Infrastruktur (C2, C & C) zu verbergen. Einer der neuesten Trends unter Cyberkriminellen ist die Nutzung legitimer sozialer Dienste als Dead-Drop-Standorte für verschlüsselte Daten. Der Wroba-Trojaner hält Schritt und kann seine Liste der C2-Server gemäß den Informationen ändern, die von den Hackern eingerichteten Social-Media-Konten stammen.
