Los investigadores de Kaspersky informaron sobre una nueva función de cambio de DNS utilizada en la operación Roaming Mantis. Roaming Mantis (también conocido como Shaoye) es el nombre de una campaña u operación de ciberdelincuencia observada por primera vez por Kaspersky en 2018. Utiliza archivos maliciosos de paquetes de Android (APK) para administrar dispositivos Android infectados y robar información confidencial del dispositivo. También se sabe que tiene una opción de phishing para dispositivos iOS y funciones de criptominería para PC. El nombre de esta campaña se debe a su propagación a través de teléfonos inteligentes en itinerancia de redes Wi-Fi, que potencialmente transmiten y propagan la infección.
“Enrutadores públicos y nueva funcionalidad de cambiador de DNS”
Kaspersky descubrió recientemente que Roaming Mantis ofrece una nueva funcionalidad de cambio de DNS a través de la campaña de malware Wroba.o (también conocido como Agent.eq, Moqhao, XLoader). Podemos llamar al cambiador de DNS un programa malicioso que redirige su dispositivo conectado a un enrutador Wi-Fi comprometido a otro servidor controlado por ciberdelincuentes en lugar de un servidor DNS legítimo. En este escenario, se le pide a la víctima potencial que descargue malware que puede controlar el dispositivo o robar credenciales, desde la página de destino con la que se encuentra.
Actualmente, los atacantes detrás de Roaming Mantis solo tienen como objetivo enrutadores ubicados en Corea del Sur y fabricados por un proveedor de equipos de red de Corea del Sur muy popular. En diciembre de 2022, Kaspersky observó 508 descargas de APK maliciosos en el país.
Un estudio de páginas maliciosas reveló que los atacantes también se dirigían a otras regiones utilizando smishing en lugar de cambiadores de DNS. Esta técnica utiliza mensajes de texto para difundir enlaces que dirigen a la víctima a un sitio de phishing para descargar malware en el dispositivo o robar información del usuario.
Según las estadísticas de Kaspersky Security Network (KSN) de septiembre a diciembre de 2022, la tasa más alta de detección del malware Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) en Francia (54,4 %), Japón (12,1 %) y EE. UU. ( 10,1%).
“Cuando un teléfono inteligente infectado se conecta a enrutadores 'buenos' en varios lugares públicos, como cafés, bares, bibliotecas, hoteles, centros comerciales, aeropuertos e incluso hogares, el malware Wroba.o se transmite a este enrutador”, dijo Suguru Ishimaru, Investigador sénior de seguridad de Kaspersky y puede afectar a los dispositivos conectados a él. La nueva funcionalidad de cambiador de DNS puede administrar casi cualquier selección de dispositivo utilizando el enrutador Wi-Fi comprometido, como el reenvío a hosts maliciosos y la desactivación de actualizaciones de seguridad. "Creemos que este descubrimiento es fundamental para la seguridad cibernética de los dispositivos Android porque tiene el potencial de extenderse ampliamente en las regiones objetivo".
Para proteger su conexión a Internet de esta infección, los investigadores de Kaspersky recomiendan:
- Consulte el manual de su enrutador para verificar que su configuración de DNS no haya sido manipulada o comuníquese con su proveedor de servicios de Internet para obtener asistencia.
- Cambie el nombre de usuario y la contraseña predeterminados utilizados para la interfaz web de su enrutador y actualice el firmware regularmente desde la fuente oficial.
- Nunca instale software de enrutador de fuentes de terceros. Evite usar tiendas de terceros para sus dispositivos Android también.
- Además, siempre verifique las direcciones del navegador y del sitio web para asegurarse de que sean seguros; Recuerde confirmar la conexión segura https:// cuando se le solicite ingresar datos.
Sé el primero en comentar