Um novo malware Android que altera o DNS permite que cibercriminosos infectem smartphones Android com malware por meio de roteadores Wi-Fi comprometidos em cafés, hotéis em aeroportos e outros locais públicos. Muitos usuários na Coreia do Sul estão sendo infectados, mas o malware está se espalhando cada vez mais na Alemanha e na Áustria via smishing. Relatório de especialistas da Kaspersky.
O Roaming Mantis introduziu recentemente a funcionalidade de troca de DNS (Domain Name System) no malware Wroba.o, também conhecido como Agent.eq, Moqhao e XLoader - o malware é uma parte essencial da campanha. O DNS-Changer é um programa malicioso que direciona o dispositivo conectado a um roteador sem fio comprometido para um servidor DNS controlado por cibercriminosos, em vez de um servidor legítimo. Lá, o usuário é solicitado a fazer um download e o malware baixado pode controlar o dispositivo ou roubar credenciais.
Armadilha: Funcionalidade do alterador de DNS
Atualmente, o agente da ameaça por trás do Roaming Mantis visa apenas roteadores localizados na Coreia do Sul e fabricados por um popular fabricante de equipamentos de rede sul-coreano. Para identificá-los, o novo recurso DNS Changer recupera o endereço IP do roteador e verifica o modelo do roteador. Se o alvo for desejável, o dispositivo será comprometido ao substituir as configurações de DNS. Em dezembro de 2022, a Kaspersky observou 508 downloads maliciosos de APK na Coreia do Sul.
O Roaming Mantis se espalha na Alemanha e na Áustria
Analisando sites maliciosos para os quais os usuários foram redirecionados, ficou claro que os atores também visam outras regiões usando smishing em vez de trocador de DNS. Ele faz isso espalhando links maliciosos por meio de mensagens de texto, que redirecionam a vítima para um site infectado para baixar malware no dispositivo ou roubar informações do usuário por meio de um site de phishing. Os arquivos APK maliciosos foram baixados com mais frequência no Japão (quase 25.000 vezes), seguido pela Áustria e França com cerca de 7.000 downloads cada, e Alemanha com cerca de 6.000 downloads. Os especialistas da Kaspersky esperam que os atores por trás do Roaming Mantis atualizem em breve a função DNS Changer para também atacar roteadores WiFi nesses países.
De acordo com a telemetria da Kaspersky, a taxa de detecção do malware Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) no período de setembro a dezembro de 2022 foi na França (54,4%), Japão (12,1%) e Estados Unidos (10,1 por cento) mais alto.
Smartphones infectados podem infectar outras WLANs
“Se um smartphone infectado se conectar a um roteador previamente não infectado em um local público, como uma cafeteria, bar, biblioteca, hotel, shopping, aeroporto ou até mesmo em casa, o malware Wroba.o pode comprometer esses roteadores e também afetar outros dispositivos conectados, ” explica Suguru Ishimaru, pesquisador sênior de segurança da Kaspersky. “A nova funcionalidade do alterador de DNS pode gerenciar toda a comunicação do dispositivo por meio do roteador WiFi comprometido. Isso também significa que ele pode redirecionar os usuários para hosts mal-intencionados e desabilitar as atualizações de produtos de segurança. A nova funcionalidade é extremamente crítica para dispositivos Android, pois a campanha pode se espalhar rapidamente nas regiões segmentadas.”
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/