El 16 de abril, los analistas de Kaspersky Lab informaron sobre un nuevo malware para Android distribuido a través de una técnica de secuestro del sistema de nombres de dominio (domainnamesystem – DNS) dirigido sobre todo a smartphones en Asia.
Cuatro semanas después, la amenaza continúa evolucionando rápidamente y ahora ha ampliado su campo de actuación para incluir Europa y Próximo Oriente, añadiendo una opción de phishing para dispositivos iOS y capacidad de minería de criptomonedas. La campaña, llamada Roaming Mantis, está diseñada principalmente para robar información del usuario, incluidas las credenciales, y para proporcionar a los ciberdelincuentes el control total sobre el dispositivo comprometido. Los analistas creen que detrás de la operación está un grupo cibercriminal de habla coreana o china que busca obtener recursos financieros.
Método de ataque
Los descubrimientos de Kaspersky Lab indican que los ciberatacantesque están detrás de Roaming Mantis buscan routers vulnerables para comprometer, y distribuyen el malware mediante un truco simple, pero muy efectivo, de secuestro de la configuración DNS de esos routers. Se desconoce la forma de comprometer esos routers. Una vez que se secuestra el DNS, cualquier intento de los usuarios de acceder a sitios web los lleva a una URL que aparenta ser auténtica, pero que tiene contenido falsificado procedente del servidor de los ciberdelincuentes. Esto incluye el mensaje: “Para experimentar una mejor navegación, actualice a la última versión de Chrome”. Al hacer clic en el enlace, se inicia la instalación de una aplicación troyana llamada “facebook.apk” o “chrome.apk”, que incluye un backdoor Android.
El malware Roaming Mantis comprueba si el dispositivo esta rooteado y solicita permiso para recibir notificaciones de cualquier actividad de navegación o de comunicaciones realizada por el usuario. También es capaz de recopilar una amplia gama de datos, incluidos las credenciales para la autenticación de dos factores. Su interés en esto y el hecho de parte del código de malware incluye referencias a banca móvil y a aplicaciones de juegos populares en Corea del Sur, sugieren una posible motivación económica detrás de esta campaña.
Extensión del ámbito geográfico y ampliación de funciones
La investigación inicial de Kaspersky Lab identificó cerca de 150 objetivos, principalmente en Cora del Sur, Bangladesh y Japón, pero también desveló miles de conexiones atacando diariamente los servidores de comando y control (C2) de los atacantes, apuntando a un ataque de mucha mayor escala. El malware incluye soporte para cuatro idiomas: coreano, chino simplificado, japonés e inglés.
La gama de ataques ha sido ampliada, soportando un total de 27 idiomas, incluyendo polaco, alemán, árabe, búlgaro y ruso. Los ciberdelincuentes han introducido un desvió a páginas de phishing de apariencia Apple, si el malware encuentra un dispositivo iOS. La última incorporación al arsenal es una página web maliciosa con capacidades de minería de criptomoneda de PC. Las observaciones de Kaspersky Lab sugieren que al menos se produjo una ola de ataques más amplio, y los analistas comprobaron que, en apenas unos pocos días, hubo más de 100 objetivos entre los clientes de Kaspersky Lab.
«Cuando en abril informamos por primera vez sobre Roaming Mantis, ya dijimos que era una amenaza activa y rápidamente cambiante. Nuestra evidencia muestra una rápida expansión en los territorios objetivos para incluir a Europa y Próximo Oriente y más. Creemos que los atacantes son ciberdelincuentes que buscan un beneficio económico y hemos encontrado también pistas para sugerir que los atacantes son de habla china o coreana. Existe claramente un potente interés detrás de esta amenaza, por lo que es poco probable que la veamos disminuir en el corto plazo. El uso de routers infectados y DNS secuestrados recuerda la necesidad de una sólida protección del dispositivo y el uso de conexiones seguras”, afirma SugurIshimaru, analista de seguridad de Kaspersky Lab Japón.
Los productos de Kaspersky Lab detectan la amenaza Roaming Mantis como‘Trojan-Banker.AndroidOS.Wroba’, y el minero de criptomoneda como ‘Dangerous URL blocked’.
Para proteger la conexión a Internet de esta infección, Kaspersky Lab recomienda:
- Consultar el manual de usuario del router para verificar que la configuración no se ha visto alterada o comunicarnos con nuestro ISP para obtener información y asistencia.
- Cambiar el inicio de sesión y la contraseña de fábrica para la interfaz del administrador del router y actualizar regularmente el firmware desde la fuente oficial.
- No instalar nunca el firmware del router desde fuentes de terceros. Evitar el uso de almacenes de terceros para vuestros dispositivos Android.
- Verificar siempre las direcciones del navegador y del sitio web para asegurarnos que sean legítimas, y buscar signos como https cuando se nos pida que ingresemos los datos.
- Considerar instalar una solución de móvil, como Kaspersky Internet Security for Android, para proteger los dispositivos de estas y otras amenazas.
Se puede encontrar más información sobre Roaming Mantis e información técnica en Securelist.
