Roaming Mantis (a.k.a Shaoye) es una campaña cibercriminal detectada por Kaspersky en 2018 . Utiliza archivos de paquetes de Android (APK) infectados para controlar el dispositivo y robar información del mismo. También cuenta con una opción de phishing para equipos con iOS y capacidades de criptominería para PC. El nombre de la campaña se debe a su propagación a través de teléfonos conectados a redes Wi-Fi para transmitir y propagar la infección.
Nueva función para manipular el DNS y atacar a usuarios a través de routers públicos
Kaspersky descubrió que Roaming Mantis introdujo recientemente una nueva funcionalidad de manipulación del sistema de nombres de dominio (DNS) en Wroba.o (también conocido como Agent.eq, Moqhao, XLoader), el malware utilizado principalmente en la campaña. La manipulación del DNS se realiza con un programa malicioso que dirige el dispositivo conectado a un router Wi-Fi comprometido y a un servidor bajo el control de los ciberdelincuentes en lugar de a un servidor DNS legítimo. A través de una web falsa, se pide a la víctima que descargue un archivo que contiene malware, el cual controlará el dispositivo y robará credenciales.
Por el momento, la amenaza se dirige a routers localizados en Corea del Sur y desarrollados por una popular marca de este tipo de dispositivos en el país. Para identificarlos, la funcionalidad de manipulación de DNS consigue la dirección IP y accede al modelo de router, cambiando la configuración del DNS. En diciembre de 2022, Kaspersky observó 508 descargas maliciosas de archivos APK en el país (tabla 1).
País
|
Número de APK maliciosas descargadas |
Japón | 24645 |
Austria | 7354 |
Francia | 7246 |
Alemania | 5827 |
Korea del Sur | 508 |
Turquía | 381 |
Malasia | 154 |
India | 28 |
Tabla 1. Número de descargas de APK maliciosas por país según la investigación de páginas creadas dentro de la campaña Roaming Mantis, primera quincena de diciembre de 2022.
Una investigación de las páginas de Internet hacia las que se redirigía a las víctimas descubrió que los atacantes también actúan en otras regiones utilizando el smishing, en lugar de manipular el DNS. Esta técnica usa mensajes de texto fraudulentos para difundir enlaces maliciosos que llevan a la víctima a un sitio desde el que el usuario descarga archivos infectados o se le roba información mediante phishing. Japón encabeza la lista de descargas de archivos APK infectados desde las landing pages creadas por los cibercriminales, con casi 25.000. Austria y Francia siguen al país nipón, con 7.000 descargas cada uno. Alemania, Turquía, Malasia e India cierran la lista. Los analistas de Kaspersky creen que los ciberdelincuentes pronto podrían actualizar la función de cambio de DNS para vulnerar los routers Wi-Fi de esos países.
Según las estadísticas de Kaspersky Security Network (KSN), de septiembre a diciembre de 2022 el mayor ratio de detección del malware Wroba.o (o Trojan-Dropper.AndroidOS.Wroba.o) se detectó en Francia (54,4%), Japón (12,1% y Estados Unidos (10,1%).
Para proteger la conexión a internet de esta amenaza, los analistas de Kaspersky recomiendan:
- Consulta el manual de usuario de router para verificar que la configuración del DNS no ha sido manipulada o contacta con tu proveedor de internet para recibir asistencia.
- Cambia el nombre de usuario y contraseña que viene por defecto en el router y actualiza con regularidad el firmware del mismo desde fuentes oficiales.
- Nunca instales un firmware de terceros en el router. No uses repositorios de terceros en dispositivos Android.
- Verifica siempre la dirección y el sitio web del navegador para estar seguro de que es legítimo; comprueba que la dirección tenga la secuencia ‘https’ si se pide la introducción de datos.
- Instala una solución de seguridad para teléfonos móviles para proteger tu dispositivo de estas y otras amenazas.