Roaming Mantis se propaga a través de teléfonos conectados a Wi-Fi públicas

Recomendados.... » Cómo proteger el nuevo perímetro Leer » La digitalización y sostenibilidad, impulsores de la economía Informe » Digitalización y seguridad: motor de innovación en el sector financiero Leer

Los analistas de Kaspersky han detectado un nuevo sistema de manipulación de DNS en una campaña del virus Roaming Mantis, con la que los cibercriminales pueden comprometer los routers de aeropuertos, bares, hoteles y otros lugares públicos para infectar móviles Android con el malware Wroba.o. Por el momento, esta nueva técnica se ha utilizado en Corea del Sur, pero podría llegar pronto a otros países.

Roaming Mantis es una campaña cibercriminal que utiliza archivos de paquetes de Android (APK) infectados para controlar el dispositivo y robar información del mismo. También cuenta con una opción de phishing para equipos con iOS y capacidades de criptominería para PC. El nombre de la campaña se debe a su propagación a través de teléfonos conectados a redes Wi-Fi para transmitir y propagar la infección.

Kaspersky descubrió que Roaming Mantis introdujo recientemente una nueva funcionalidad de manipulación del sistema de nombres de dominio (DNS) en Wroba.o (también conocido como Agent.eq, Moqhao, XLoader), el malware utilizado principalmente en la campaña. La manipulación del DNS se realiza con un programa malicioso que dirige el dispositivo conectado a un router Wi-Fi comprometido y a un servidor bajo el control de los ciberdelincuentes en lugar de a un servidor DNS legítimo. A través de una web falsa, se pide a la víctima que descargue un archivo que contiene malware, el cual controlará el dispositivo y robará credenciales.

Una investigación de las páginas de Internet hacia las que se redirigía a las víctimas descubrió que los atacantes también actúan en otras regiones utilizando el smishing. Esta técnica usa mensajes de texto fraudulentos para difundir enlaces maliciosos que llevan a la víctima a un sitio desde el que el usuario descarga archivos infectados o se le roba información mediante phishing.

Japón encabeza la lista de descargas de archivos APK infectados desde las landing pages creadas por los cibercriminales, con casi 25.000. Austria y Francia siguen al país nipón, con 7.000 descargas cada uno. Alemania, Turquía, Malasia e India cierran la lista. Los analistas de Kaspersky creen que los ciberdelincuentes pronto podrían actualizar la función de cambio de DNS para vulnerar los routers Wi-Fi de esos países.

“Cuando un móvil infectado se conecta a routers supuestamente de confianza en diferentes lugares, como cafés, bares, librerías, hoteles, centros comerciales, aeropuertos e, incluso, hogares, el malware Wroba.o puede comprometer los routers e infectar también a otros dispositivos que estén conectados. La nueva funcionalidad que manipula el DNS puede controlar todas las comunicaciones de los dispositivos al comprometer el router Wi-Fi, redirigiendo a la víctima a sitios maliciosos y desactivando las actualizaciones de las aplicaciones de seguridad. Creemos que este descubrimiento es crítico para la seguridad de los dispositivos Android porque se puede expandir con mucha rapidez”, explica Suguri Ishimaru, analista senior de seguridad de Kaspersky.