Roaming Mantis lleva los ataques de secuestro de DNS desde Asia al resto del mundo

Los ciberatacantes que están detrás de Roaming Mantis buscan routers vulnerables para comprometer, y distribuyen el malware mediante el secuestro de la configuración DNS de esos routers

Detectado a principios de abril, los analistas de Kaspersky Lab informaban el día 16 sobre este nuevo ataque y su peligrosidad. Casi dos meses más tarde la amenaza – que ha ido evolucionando de forma incesante -, ha ampliado su campo de actuación incluyendo Europa y Próximo Oriente, añadiendo además, una opción de phishing para dispositivos iOS y capacidad de minería de criptomonedas. Los analistas creen que detrás de la operación llamada Roaming Mantis está un grupo cibercriminal de habla coreana o china que busca obtener recursos financieros. Creemos que tras esta operación conocida como Roaming Mantis, está un grupo de ciberdelincuentes que buscan un beneficio económico y hemos encontrado también pistas para sugerir que los atacantes son de habla china o coreana. Existe claramente un potente interés detrás de esta amenaza, por lo que es poco probable que la veamos disminuir en el corto plazo” ha comentado Sugur Ishimaru, analista de seguridad de Kaspersky Lab Japón.

Los descubrimientos de Kaspersky Lab indican que los ciberatacantes que están detrás de Roaming Mantis buscan routers vulnerables para comprometer, y distribuyen el malware mediante un truco simple, pero muy efectivo, de secuestro de la configuración DNS de esos routers. Aunque – subrayan – se desconoce la forma de comprometer esos routers. Una vez que se secuestra el DNS, cualquier intento de los usuarios de acceder a sitios web los lleva a una URL que aparenta ser auténtica, pero que tiene contenido falsificado procedente del servidor de los ciberdelincuentes. Esto incluye el mensaje: “Para experimentar una mejor navegación, actualice a la última versión de Chrome”. Al hacer clic en el enlace, se inicia la instalación de una aplicación troyana llamada “facebook.apk” o “chrome.apk”, que incluye un backdoor Android.

El malware Roaming Mantis secuestra de la configuración DNS de los routers y apartir de ese momento cualquier intento de los usuarios de acceder a sitios web los lleva a una URL que aparenta ser auténtica, pero que tiene contenido falsificado procedente del servidor de los ciberdelincuentes. Esto incluye el mensaje: “Para experimentar una mejor navegación, actualice a la última versión de Chrome”. Al hacer clic en el enlace, se inicia la instalación de una aplicación troyana llamada “facebook.apk” o “chrome.apk”, que incluye un backdoor Android

El malware Roaming Mantis comprueba si el dispositivo esta rooteado y solicita permiso para recibir notificaciones de cualquier actividad de navegación o de comunicaciones realizada por el usuario. También es capaz de recopilar una amplia gama de datos, incluidos las credenciales para la autenticación de dos factores. Su interés en esto y el hecho de parte del código de malware incluye referencias a banca móvil y a aplicaciones de juegos populares en Corea del Sur, sugieren una posible motivación económica detrás de esta campaña.

La investigación inicial de Kaspersky Lab identificó cerca de 150 objetivos, principalmente en Corea del Sur, Bangladesh y Japón, pero también desveló miles de conexiones atacando diariamente los servidores de comando y control (C2) de los atacantes, apuntando a un ataque de mucha mayor escala. El malware incluye soporte para cuatro idiomas: coreano, chino simplificado, japonés e inglés.

La gama de ataques ha sido ampliada, soportando un total de 27 idiomas, incluyendo polaco, alemán, árabe, búlgaro y ruso. Los ciberdelincuentes han introducido un desvio a páginas de phishing de apariencia Apple, si el malware encuentra un dispositivo iOS. La última incorporación al arsenal es una página web maliciosa con capacidades de minería de criptomoneda de PC. Las observaciones de Kaspersky Lab sugieren que al menos se produjo una ola de ataques más amplio, y los analistas comprobaron que, en apenas unos pocos días, hubo más de 100 objetivos entre los clientes de Kaspersky Lab.

Para proteger los dispositivos de malwares como Roaming Mantis, considerar instalar una solución de móvil, como Kaspersky Internet Security for Android

“Cuando en abril informamos por primera vez sobre Roaming Mantis, ya dijimos que era una amenaza activa y rápidamente cambiante. Nuestra evidencia muestra una rápida expansión en los territorios objetivos para incluir a Europa y Próximo Oriente y más. El uso de routers infectados y DNS secuestrados recuerda la necesidad de una sólida protección del dispositivo y el uso de conexiones seguras”, subraya Sugur Ishimaru.

Los analistas recuerdan que los productos de Kaspersky Lab detectan la amenaza Roaming Mantis como ‘Trojan-Banker.AndroidOS.Wroba’, y el minero de criptomoneda como ‘Dangerous URL blocked’.

Para proteger la conexión a Internet de esta infección, Kaspersky Lab recomienda:

  • Consultar el manual de usuario del router para verificar que la configuración no se ha visto alterada o comunicarnos con nuestro ISP para obtener información y asistencia.
  • Cambiar el inicio de sesión y la contraseña de fábrica para la interfaz del administrador del router y actualizar regularmente el firmware desde la fuente oficial.
  • No instalar nunca el firmware del router desde fuentes de terceros. Evitar el uso de almacenes de terceros para vuestros dispositivos Android.
  • Verificar siempre las direcciones del navegador y del sitio web para asegurarnos que sean legítimas, y buscar signos como https cuando se nos pida que ingresemos los datos.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.