Kasperskyのグローバル調査分析チーム(GReAT)は、攻撃活動「Roaming Mantis(ローミングマンティス)」で主に使用されてきたマルウェア「Wroba(ローバ)」に、新たにルーターのDNS設定を改ざんする機能(DNS Changer)が実装されたことを発見したと発表した。
この攻撃活動を行うサイバー犯罪グループは、家庭やオフィスだけでなく、カフェや空港、ホテルをはじめとする公共の場のWi-Fiルーターを侵害し、接続された多くのAndroidスマートフォンをWroba.oに感染させることに成功しているという。
また、感染したスマートフォンがWi-Fiルーターに接続すると、Wroba.oはこれらのルーターのDNS設定を改ざんし、その後接続するほかのデバイスにも被害を与えるようになるとのこと。現在、韓国のユーザーを中心に侵害されたWi-Fiルーターを経由した感染活動が行われているものの、今後他の地域でもこの手法が使われる可能性があるとしている。
Roaming Mantis(別名、Shaoye)は、2018年に初めて同社が確認し発表したサイバー犯罪の攻撃活動だ。悪意のあるAndroidパッケージ(APK)ファイルを使用し、Androidデバイスを感染させて制御し、デバイス情報を窃取する。また同社は他にも、iOSデバイスに対するフィッシング攻撃や、過去PC上での暗号資産(仮想通貨)のマイニング攻撃も観測しているとしている。
調査の結果、現在Roaming Mantis攻撃グループは、韓国で一般的に使用されているWi-Fiルーターを主な標的にしているとのこと。Wroba.oのDNS Changer機能では、標的のWi-Fiルーターを識別するためにルーターの型番を確認し、その型番に合わせてDNS設定を改ざんするためのクエリーを生成、実行する。そして侵害されたルーターに接続されているデバイスすべてに対して影響を及ぼすとしている。
GReATのリサーチャーは、同グループが近いうちにWroba.oのDNS Changer機能を更新し、韓国だけでなくほかの地域のWi-Fiルーターも標的にする可能性があるとのこと。
そのため同社は、感染からインターネット接続を保護するために、以下の対策を講じることを推奨している。
- ルーターのユーザーマニュアルを参照し、DNS設定が改ざんされていないことを確認する。もしくは、サービスプロバイダーに問い合わせてサポートを得る
- ルーターの管理用Webインターフェースの既定ログインIDとパスワードを変更する
- ルーターの公式サイトで提供されるファームウェアの更新プログラムを使用して定期的にアップデートする。ルーターのファームウェアは、必ず公式サイトにあるものを利用する
- 接続したWebサイトのアドレスが正規アドレスであるかどうかを常に確認する。データの入力を求められた場合、アドレスがhttpsで始まっていることを確認するなど、不正な兆候を探す
- モバイルセキュリティソリューションを導入する
【関連記事】
・ランサムウェアの1日当たりの検知数が前年同期比2.8倍に カスペルスキーが発表
・カスペルスキー、法人向けEDR Optimumの新バージョン公開 インシデントレスポンス機能など強化
・カスペルスキー、YouTubeチャンネル経由で悪意あるTorブラウザーインストーラによる感染を確認
