Clicky

Roaming Mantis propaga malware móvil que secuestra la configuración de DNS de los routers Wi-Fi

malware Roaming Mantis

Roaming Mantis es capaz de robar credenciales de cuentas bancarias

Se ha observado a los actores de amenazas asociados con la campaña de ataque Roaming Mantis entregando una variante actualizada de su malware móvil patentado conocido como Wroba para infiltrarse en los routers Wi-Fi y llevar a cabo el secuestro del Sistema de Nombres de Dominio (DNS).

Kaspersky, que llevó a cabo un análisis del artefacto malicioso, dijo que la función está diseñada para apuntar a routers Wi-Fi específicos ubicados en Corea del Sur.

Roaming Mantis, también conocido como Shaoye, es una operación de motivación financiera de larga duración que selecciona a los usuarios de teléfonos inteligentes Android con malware capaz de robar credenciales de cuentas bancarias y recopilar otros tipos de información confidencial.

Aunque se centró principalmente en la región asiática desde 2018, se detectó que el equipo de piratería expandía su rango de víctimas para incluir a Francia y Alemania por primera vez a principios de 2022 al camuflar el malware como la aplicación del navegador web Google Chrome.

Los ataques aprovechan los mensajes de smishing como el vector de intrusión inicial de elección para entregar una URL trampa que ofrece una APK maliciosa o redirige a la víctima a páginas de phishing basadas en el sistema operativo instalado en los dispositivos móviles.

ataque Roaming Mantis

Alternativamente, algunos compromisos también han aprovechado los enrutadores de Wi-Fi como un medio para llevar a los desprevenidos usuarios a una página de destino falsa mediante el uso de una técnica llamada secuestro de DNS, en la que las consultas de DNS se manipulan para redirigir a los objetivos a sitios falsos.

Independientemente del método utilizado, las intrusiones allanan el camino para la implementación de un malware denominado Wroba (también conocido como MoqHao y XLoader) que está equipado para llevar a cabo una gran cantidad de actividades nefastas.

La última actualización de Wroba, según la compañía rusa de ciberseguridad, incluye una función de cambio de DNS que está diseñada para detectar ciertos enrutadores en función de sus números de modelo y envenenar su configuración de DNS.

"La nueva funcionalidad de cambiador de DNS puede administrar todas las comunicaciones de los dispositivos que utilizan el enrutador Wi-Fi comprometido, como redirigir a hosts maliciosos y deshabilitar las actualizaciones de los productos de seguridad", dijo el investigador de Kaspersky Suguru Ishimaru.

La idea subyacente es hacer que los dispositivos conectados al enrutador Wi-Fi violado sean redirigidos a páginas web controladas por el actor de amenazas para una mayor explotación. Dado que algunas de estas páginas entregan el malware Wroba, la cadena de ataque crea efectivamente un flujo constante de "bots" que pueden convertirse en armas para entrar en enrutadores Wi-Fi saludables.

Es notable que el programa de cambio de DNS se use exclusivamente en Corea del Sur. Sin embargo, el malware Wroba en sí mismo ha sido detectado atacando a víctimas en Austria, Francia, Alemania, India, Japón, Malasia, Taiwán, Turquía y los EE. UU. a través de smishing.

Wroba está lejos de ser el único malware móvil existente con funciones de secuestro de DNS. En 2016 Kaspersky desenmascaró otro troyano de Android con nombre en código Switcher que ataca el enrutador inalámbrico a cuya red está conectado el dispositivo infectado y realiza un ataque de fuerza bruta con el objetivo de alterar las configuraciones de DNS.

"Los usuarios con dispositivos Android infectados que se conectan a redes Wi-Fi gratuitas o públicas pueden propagar el malware a otros dispositivos en la red si es vulnerable la red Wi-Fi a la que están conectados", dijo el investigador.