Un nouveau logiciel malveillant Android modifiant le DNS permet aux cybercriminels d'infecter les smartphones Android avec des logiciels malveillants via des routeurs Wi-Fi compromis dans les cafés, les hôtels d'aéroport et d'autres lieux publics. De nombreux utilisateurs en Corée du Sud sont actuellement infectés, mais le malware se propage de plus en plus en Allemagne et en Autriche via le smishing. Rapport des experts de Kaspersky.
Roaming Mantis a récemment introduit la fonctionnalité de changement de DNS (Domain Name System) dans le malware Wroba.o, également connu sous le nom d'Agent.eq, Moqhao et XLoader - le malware est au cœur de la campagne. DNS-Changer est un programme malveillant qui dirige l'appareil connecté à un routeur sans fil compromis vers un serveur DNS contrôlé par un cybercriminel au lieu d'un serveur légitime. Là, l'utilisateur est invité à effectuer un téléchargement et le logiciel malveillant téléchargé peut contrôler l'appareil ou voler des informations d'identification.
Piège : fonctionnalité de changement de DNS
Actuellement, l'acteur de la menace derrière Roaming Mantis ne cible que les routeurs situés en Corée du Sud et fabriqués par un fabricant d'équipements de réseau sud-coréen populaire. Pour les identifier, la nouvelle fonctionnalité DNS Changer récupère l'adresse IP du routeur et vérifie le modèle du routeur. Si la cible est souhaitable, le périphérique est compromis en écrasant les paramètres DNS. En décembre 2022, Kaspersky a observé 508 téléchargements d'APK malveillants en Corée du Sud.
Roaming Mantis se répand en Allemagne et en Autriche
En analysant les sites Web malveillants vers lesquels les utilisateurs ont été redirigés, il est devenu clair que les acteurs ciblent également d'autres régions en utilisant le smishing au lieu du changeur DNS. Pour ce faire, il diffuse des liens malveillants via des SMS, qui redirigent la victime vers un site Web infecté afin de télécharger des logiciels malveillants sur l'appareil ou de voler des informations sur l'utilisateur via un site Web de phishing. Les fichiers APK malveillants ont été téléchargés le plus fréquemment au Japon (près de 25.000 7.000 fois), suivis par l'Autriche et la France avec environ 6.000 XNUMX téléchargements chacun, et l'Allemagne avec environ XNUMX XNUMX téléchargements. Les experts de Kaspersky s'attendent à ce que les acteurs derrière Roaming Mantis mettent prochainement à jour la fonction DNS Changer pour attaquer également les routeurs WiFi de ces pays.
Selon la télémétrie de Kaspersky, le taux de détection du malware Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) au cours de la période de septembre à décembre 2022 était en France (54,4 %), au Japon (12,1 %) et aux États-Unis (10,1 %). pour cent) le plus élevé.
Les smartphones infectés peuvent infecter d'autres WLAN
"Si un smartphone infecté se connecte à un routeur précédemment non infecté dans un lieu public tel qu'un café, un bar, une bibliothèque, un hôtel, un centre commercial, un aéroport ou même à la maison, le malware Wroba.o peut compromettre ces routeurs et également affecter d'autres appareils connectés, ” explique Suguru Ishimaru, Senior Security Researcher chez Kaspersky. "La nouvelle fonctionnalité de changeur DNS peut gérer toutes les communications de l'appareil via le routeur WiFi compromis. Cela signifie également qu'il peut rediriger les utilisateurs vers des hôtes malveillants et désactiver les mises à jour des produits de sécurité. La nouvelle fonctionnalité est extrêmement critique pour les appareils Android, car la campagne peut se propager très rapidement dans les régions ciblées. »
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/