Un nuevo malware de Android que cambia el DNS permite a los ciberdelincuentes infectar teléfonos inteligentes Android con malware a través de enrutadores Wi-Fi comprometidos en cafés, hoteles de aeropuerto y otros lugares públicos. Actualmente, muchos usuarios de Corea del Sur están siendo infectados, pero el malware se está propagando cada vez más en Alemania y Austria a través del smishing. Informe de los expertos de Kaspersky.
Roaming Mantis introdujo recientemente la función de cambio de DNS (Domain Name System) en el malware Wroba.o, también conocido como Agent.eq, Moqhao y XLoader; el malware es una parte central de la campaña. DNS-Changer es un programa malicioso que dirige el dispositivo conectado a un enrutador inalámbrico comprometido a un servidor DNS controlado por ciberdelincuentes en lugar de uno legítimo. Allí, se solicita al usuario que descargue y el malware descargado puede controlar el dispositivo o robar credenciales.
Trampa: funcionalidad de cambiador de DNS
Actualmente, el actor de amenazas detrás de Roaming Mantis solo apunta a enrutadores ubicados en Corea del Sur y fabricados por un popular fabricante de equipos de red de Corea del Sur. Para identificarlos, la nueva función DNS Changer recupera la dirección IP del enrutador y verifica el modelo del enrutador. Si el objetivo es deseable, el dispositivo se ve comprometido al sobrescribir la configuración de DNS. En diciembre de 2022, Kaspersky observó 508 descargas maliciosas de APK en Corea del Sur.
Roaming Mantis se extiende en Alemania y Austria
Al analizar los sitios web maliciosos a los que los usuarios fueron redirigidos, quedó claro que los actores también se dirigen a otras regiones utilizando smishing en lugar de cambiador de DNS. Lo hace mediante la difusión de enlaces maliciosos a través de mensajes de texto, que redirigen a la víctima a un sitio web infectado para descargar malware en el dispositivo o robar información del usuario a través de un sitio web de phishing. Los archivos APK maliciosos se descargaron con mayor frecuencia en Japón (casi 25.000 7.000 veces), seguido de Austria y Francia con alrededor de 6.000 descargas cada uno, y Alemania con alrededor de XNUMX descargas. Los expertos de Kaspersky esperan que los actores detrás de Roaming Mantis actualicen pronto la función DNS Changer para atacar también los enrutadores WiFi en estos países.
Según la telemetría de Kaspersky, la tasa de detección del malware Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) en el período de septiembre a diciembre de 2022 fue en Francia (54,4 %), Japón (12,1 %) y Estados Unidos (10,1 %). porcentaje) más alto.
Los teléfonos inteligentes infectados pueden infectar otras WLAN
“Si un teléfono inteligente infectado se conecta a un enrutador previamente no infectado en un lugar público como una cafetería, un bar, una biblioteca, un hotel, un centro comercial, un aeropuerto o incluso una casa, el malware Wroba.o puede comprometer esos enrutadores y afectar también a otros dispositivos conectados. ”, explica Suguru Ishimaru, investigador sénior de seguridad de Kaspersky. “La nueva funcionalidad del cambiador de DNS puede administrar todas las comunicaciones del dispositivo a través del enrutador WiFi comprometido. También significa que puede redirigir a los usuarios a hosts maliciosos y deshabilitar las actualizaciones de productos de seguridad. La nueva funcionalidad es extremadamente crítica para los dispositivos Android, ya que la campaña puede propagarse muy rápidamente en las regiones objetivo”.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/