Kaspersky Labは1月19日(米国時間)、「Roaming Mantis implements new DNS changer in its malicious mobile app in 2022|Securelist」において、Wi-FiルータのDNS設定を不正に書き換えるマルウェアの脅威について伝えた。同社は、ルータに侵入してドメインネームシステム(DNS: Domain Name System)をハイジャックする機能を備えた「Wroba」と呼ばれるDNS Changer型マルウェアに注意するよう呼びかけている。

Roaming Mantis implements new DNS changer in its malicious mobile app in 2022|Securelist

「Roaming Mantis」(別名「Shaoye」)と呼ばれている脅威アクターによる攻撃キャンペーンが追跡されており、 新たなマルウェアを配布するキャンペーンが展開されていることが明らかとなった。キャンペーンに使われているマルウェアは、既知のAndroidマルウェア「Wroba.o/Agent.eq」(別名「Moqhao」、「XLoader」)がベースとなっており、DNS Changerが新たに実装されているという。

Infection flow with DNS hijacking|Securelist

Roaming Mantisは悪意のあるAndroidパッケージ(APK: Android Application Package)ファイルを使用して感染したAndroidデバイスを制御し、デバイス情報を盗む長期的なサイバー攻撃キャンペーンを展開することで知られている。フィッシングページを使ってユーザー認証情報を窃取する活動も確認されており、金銭的動機をもとにサイバー犯罪を行っているとみられている。

特定された攻撃キャンペーンでは、主に韓国にある特定のWi-Fiルータが標的にされている。被害者が侵害されたWi-Fiルータにアクセスすると、悪意のあるランディングページにリダイレクトされることが判明。ランディングページで接続者のデバイスプラットフォームが特定され、Android向けには悪意のあるAndroidパッケージファイルが提供され、iOS向けにはフィッシングページにリダイレクトすることが確認されている。

主なターゲットは韓国とされているが、フランス、日本、ドイツ、米国、台湾、トルコなどの他の地域もターゲットにしていると分析されている。これらの地域ではスミッシングが主な初期感染手段とされ、今後DNS Changer機能が更新されてこれらの地域のWi-Fiルータが狙われる可能性があると予測されている。

無料または公共のWi-Fiネットワークが脆弱な場合、感染したモバイルデバイスからルータが侵害され、さらに他のデバイスにこのマルウェアが拡散するリスクが指摘されている。モバイルユーザーはモバイルセキュリティソリューションを導入するなど、脅威から身を守る対策を実施しておくことが望まれている。