Clicky

Malware que secuestra DNS dirigido a usuarios de iOS, Android y escritorio en todo el mundo

malware Roaming Mantis

Roaming Mantis cambia la configuración DNS de los routers inalámbricos

El malware de secuestro generalizado de DNS de routers que recientemente descubrió que apuntaba a dispositivos Android ahora ha actualizado sus capacidades tanto para dispositivos iOS como para usuarios de computadoras de escritorio.

Denominado Roaming Mantis, el malware fue descubierto el mes pasado secuestrando routers de Internet para distribuir malware de banca Android diseñado para robar las credenciales de inicio de sesión de los usuarios y el código secreto para la autenticación de dos factores.

Según los investigadores de seguridad de Kaspersky Labs, el grupo criminal detrás de la campaña Roaming Mantis ha ampliado sus objetivos al agregar ataques de phishing para dispositivos iOS y script de minería de cifrado para usuarios de PC.

Además, aunque los ataques iniciales se diseñaron para usuarios del sudeste asiático, como Corea del Sur, China, Bangladesh y Japón, la nueva campaña admite ahora 27 idiomas para expandir sus operaciones y afectar a personas de toda Europa y Medio Oriente.

Cómo funciona el malware Roaming Mantis

script Roaming Mantis

Al igual que en la versión anterior, el nuevo malware Roaming Mantis se distribuye mediante el secuestro de DNS, donde los atacantes cambian la configuración DNS de los routers inalámbricos para redirigir el tráfico a sitios web maliciosos controlados por ellos.

Por lo tanto, cada vez que los usuarios intentan acceder a cualquier sitio web a través de un router comprometido, se les redirige a sitios web deshonestos, que sirven:

Aplicaciones falsas infectadas con malware bancario para usuarios de Android,
sitios de phishing para usuarios de iOS,
sitios con script de minería de criptomoneda para usuarios de escritorio

"Después de que el usuario [Android] es redirigido al sitio malicioso, se le pide que actualice la [aplicación] del navegador. Esto lleva a la descarga de una aplicación maliciosa llamada chrome.apk (también había otra versión, llamada facebook.apk)", dicen los investigadores.

Roaming Mantis malware, permisos

Para evadir la detección, los sitios web falsos generan nuevos paquetes en tiempo real con archivos apk maliciosos únicos para descargar, y también establecen el nombre del archivo como ocho números aleatorios.

Una vez instalados, los atacantes pueden controlar los dispositivos infectados de Android usando 19 comandos internos incorporados, incluidos sendSms, setWifi, gcont, lock, onRecordAction, call, get_apps, ping y más.

Si las víctimas poseen un dispositivo iOS, el malware redirige a los usuarios a un sitio de phishing que imita el sitio web de Apple, afirmando ser 'security.app.com', y les pide que ingresen su identificación de usuario, contraseña, número de tarjeta, fecha de vencimiento de la tarjeta y número CVV.

Además de robar información sensible de los dispositivos Android e iOS, los investigadores encontraron que Roaming Mantis inyecta un script de minería de criptomonedas de CoinHive basado en navegador en cada página de destino si se visita utilizando navegadores de escritorio para minar Monero.

Teniendo en cuenta estas nuevas capacidades y el rápido crecimiento de la campaña, los investigadores creen que "los que están detrás de ella tienen una fuerte motivación financiera y probablemente estén bien financiados".

Así es cómo protegerse del Roaming Mantis

Para protegerse de dicho malware, se le recomienda asegurarse de que el router ejecute la última versión del firmware y esté protegido con una contraseña segura.

Dado que la campaña de piratería está utilizando servidores DNS controlados por atacantes para falsificar dominios legítimos y redirigir a los usuarios a archivos de descarga maliciosos, se recomienda asegurarse de que los sitios que estás visitando tengan habilitado HTTPS.

También debe desactivar la función de administración remota del router y codificar un servidor DNS de confianza en la configuración de red del sistema operativo.

Siempre se recomienda a los usuarios de dispositivos Android que instalen aplicaciones en tiendas oficiales y que desactiven la instalación de aplicaciones de fuentes desconocidas en sus teléfonos inteligentes dirigiéndose a Configuración → Seguridad → Fuentes desconocidas.

Para verificar si tu enrutador Wi-Fi ya está comprometido, revisa tu configuración de DNS y verifica la dirección del servidor DNS. Si no coincide con el emitido por tu proveedor, cámbiela a la correcta. También cambia de inmediato todas las contraseñas de tu cuenta.

Jesus_Caceres