Wroba Trojan

De Wroba Trojan is een mobiele Trojan-bedreiging die sinds ten minste 2013 wordt ingezet tegen gebruikers in Japan, Korea en andere plaatsen in de regio. De hackers achter deze malwarebedreiging hebben deze nu echter uitgerust met verschillende moderne technieken en deze ontketend tegen gebruikers in de VS voor het eerst, waardoor het bereik aanzienlijk is uitgebreid.

De eerste versies van Wroba werden betrapt op het doen alsof ze een legitieme Google Play Store-applicatie waren, terwijl latere iteraties de DNS-instellingen van gecompromitteerde routers misbruikten om de gebruikers naar corrupte websites te sturen. De nieuwste distributievector voor de Wroba Trojan is via zogenaamde 'smishing' - phishing-sms. De hackers sturen vervalste mededelingen van pakketbezorging die zijn ontworpen om de berichten na te bootsen die afkomstig zijn van legitieme pakketbezorgdiensten die specifiek zijn voor elk aangevallen land.

De Wroba-trojan wordt nog steeds ontwikkeld door de hackers

De Wroba Trojan kan iOS- en Android-apparaten beïnvloeden, maar de doelen zijn verschillend voor de twee mobiele omgevingen. Als de Android-gebruikers op de link van de nep-kennisgeving van pakketbezorging klikken, worden ze naar een beschadigde website gebracht die hen probeert te misleiden om de malware te downloaden die dit keer is vermomd als een vermeende browserupdate. De website beweert dat de browser van het gecompromitteerde apparaat verouderd is en onmiddellijk moet worden bijgewerkt. Deze distributiemethode werkt echter niet op iOS-apparaten. In plaats daarvan leidt Wroba de gebruikers om naar een phishing-pagina die is gemaakt om er net zo uit te zien als een Apple-inlogpagina, als in een mogelijke poging om hun Apple ID-inloggegevens te verzamelen.

Als de Wroba Trojan erin slaagt een apparaat met succes te infiltreren, kan het een breed scala aan schadelijke functies uitvoeren. De Trojan heeft toegang tot de contactlijsten van de gebruiker, kan geïnstalleerde pakketten opsommen, inlogpagina's voor verschillende bankinstellingen overlappen met phishing-pagina's om accountreferenties te verzamelen, financiële transactiegegevens te verkrijgen en proberen zichzelf verder te verspreiden door valse sms-berichten te verzenden.

Hoewel Wromba Trojan de functionaliteit van een typische mobiele malware in de kern heeft, laten de nieuwste versies zien dat de hackers erachter nog steeds bezig zijn met upgraden. Wroba laat bijvoorbeeld enkele zelden voorkomende technieken zien, zoals het gebruik van het MessagePack-formaat en DES-codering om het communicatieverkeer naar zijn Command-and-Control-infrastructuur (C2, C&C) te verbergen. Een van de nieuwste trends onder cybercriminelen is om legitieme sociale diensten te gebruiken als dead drop-locaties voor gecodeerde gegevens. De Wroba Trojan houdt het bij, en het kan ook zijn lijst met C2-servers aanpassen op basis van informatie die is verkregen van sociale media-accounts die zijn opgezet door de hackers.