Wroba Trojan

Wroba Trojan er en mobil trojansk trussel, der er blevet implementeret mod brugere i Japan, Korea og andre steder i regionen siden mindst 2013. Imidlertid har hackerne bag denne malware-trussel nu udstyret den med adskillige moderne teknikker og frigivet den mod brugere i USA for første gang og viser en betydelig udvidelse af rækkevidden.

De oprindelige versioner af Wroba blev fanget som om de var en legitim Google Play Store-applikation, mens senere iterationer misbrugte DNS-indstillingerne for kompromitterede routere for at sende brugerne til beskadigede websteder. Den seneste distributionsvektor til Wroba Trojan er gennem såkaldt 'smishing' - phishing-SMS. Hackerne sender falske meddelelser om levering af pakker, der er designet til at efterligne meddelelserne fra legitime pakkeleveringstjenester, der er specifikke for hvert angrebet land.

Wroba Trojan er stadig under udvikling af hackerne

Wroba Trojan kan påvirke iOS- og Android-enheder, men dens mål er forskellige for de to mobile miljøer. Hvis Android-brugerne klikker på linket fra den falske pakkeleveringsmeddelelse, føres de til et beskadiget websted, der forsøger at narre dem til at downloade den malware, der denne gang er forklædt som en formodet browseropdatering. Webstedet hævder, at browseren på den kompromitterede enhed er forældet og skal opdateres med det samme. Denne distributionsmetode fungerer dog ikke på iOS-enheder. I stedet omdirigerer Wroba brugerne til en phishing-side, der er oprettet for at ligne en Apple-login-side som i et muligt forsøg på at indsamle deres Apple ID-legitimationsoplysninger.

Hvis Wroba Trojan formår at infiltrere en enhed med succes, kan den udføre en lang række skadelige funktioner. Trojaneren kan få adgang til brugerens kontaktlister, tælle installerede pakker, overlejre login-sider til forskellige bankinstitutioner med phishing-sider for at indsamle kontooplysninger, få oplysninger om finansielle transaktioner og forsøge at sprede sig yderligere ved at sende falske SMS-beskeder.

Mens Wromba Trojan har funktionaliteten af en typisk mobil malware i kernen, viser de nyeste versioner, at hackerne bag det stadig opgraderer det. For eksempel viser Wroba nogle sjældent sette teknikker, såsom brug af MessagePack-formatet og DES-kryptering for at skjule kommunikationstrafikken til dens Command-and-Control (C2, C&C) infrastruktur. En af de nyeste tendenser blandt cyberkriminelle er at bruge legitime sociale tjenester som dead drop-steder til kodede data. Wroba Trojan holder op, og den kan også ændre sin liste over C2-servere i henhold til oplysninger opnået fra sociale mediekonti oprettet af hackerne.