Un nuovo malware Android che cambia il DNS consente ai criminali informatici di infettare gli smartphone Android con malware tramite router Wi-Fi compromessi in bar, hotel aeroportuali e altri luoghi pubblici. Molti utenti in Corea del Sud sono attualmente infettati, ma il malware si sta diffondendo sempre di più in Germania e Austria tramite smishing. Rapporto degli esperti di Kaspersky.
Roaming Mantis ha recentemente introdotto la funzionalità di cambio DNS (Domain Name System) nel malware Wroba.o, noto anche come Agent.eq, Moqhao e XLoader: il malware è una parte fondamentale della campagna. DNS-Changer è un programma dannoso che indirizza il dispositivo connesso a un router wireless compromesso a un server DNS controllato da criminali informatici anziché a uno legittimo. Lì, all'utente viene richiesto un download e il malware scaricato può controllare il dispositivo o rubare le credenziali.
Trappola: funzionalità di cambio DNS
Attualmente, l'autore della minaccia dietro Roaming Mantis prende di mira solo i router situati in Corea del Sud e prodotti da un famoso produttore di apparecchiature di rete sudcoreano. Per identificarli, la nuova funzione DNS Changer recupera l'indirizzo IP del router e controlla il modello del router. Se l'obiettivo è desiderabile, il dispositivo viene compromesso sovrascrivendo le impostazioni DNS. Nel dicembre 2022, Kaspersky ha osservato 508 download di APK dannosi in Corea del Sud.
Roaming Mantis si diffonde in Germania e Austria
Analizzando i siti Web dannosi a cui gli utenti sono stati reindirizzati, è diventato chiaro che gli attori prendono di mira anche altre regioni utilizzando smishing anziché DNS changer. Lo fa diffondendo collegamenti dannosi tramite messaggi di testo, che reindirizzano la vittima a un sito Web infetto per scaricare malware sul dispositivo o rubare informazioni sull'utente tramite un sito Web di phishing. I file APK dannosi sono stati scaricati più frequentemente in Giappone (quasi 25.000 volte), seguiti da Austria e Francia con circa 7.000 download ciascuno e Germania con circa 6.000 download. Gli esperti di Kaspersky prevedono che gli attori dietro Roaming Mantis aggiorneranno presto la funzione DNS Changer per attaccare anche i router WiFi in questi paesi.
Secondo la telemetria di Kaspersky, il tasso di rilevamento del malware Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) nel periodo settembre-dicembre 2022 è stato in Francia (54,4%), Giappone (12,1%) e Stati Uniti (10,1%). per cento) più alto.
Gli smartphone infetti possono infettare altre WLAN
“Se uno smartphone infetto si connette a un router precedentemente non infetto in un luogo pubblico come una caffetteria, un bar, una biblioteca, un hotel, un centro commerciale, un aeroporto o persino a casa, il malware Wroba.o può compromettere quei router e colpire anche altri dispositivi connessi, ” spiega Suguru Ishimaru, Senior Security Researcher di Kaspersky. “La nuova funzionalità di cambio DNS può gestire tutte le comunicazioni del dispositivo attraverso il router WiFi compromesso. Significa anche che può reindirizzare gli utenti a host dannosi e disabilitare gli aggiornamenti dei prodotti di sicurezza. La nuova funzionalità è estremamente critica per i dispositivi Android poiché la campagna può diffondersi così rapidamente nelle regioni target".
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/