I ricercatori di Kaspersky hanno segnalato una nuova funzione di switcher DNS utilizzata nell'operazione Roaming Mantis. Roaming Mantis (noto anche come Shaoye) è il nome di una campagna o operazione di criminalità informatica osservata per la prima volta da Kaspersky nel 2018. Utilizza file APK (Android Package) dannosi per gestire i dispositivi Android infetti e rubare informazioni riservate dal dispositivo. È anche noto per avere un'opzione di phishing per dispositivi iOS e funzionalità di mining crittografico per PC. Il nome di questa campagna è dovuto alla sua diffusione tramite smartphone in roaming su reti Wi-Fi, potenzialmente portatrici e diffondenti dell'infezione.
"Router pubblici e nuova funzionalità di cambio DNS"
Kaspersky ha recentemente scoperto che Roaming Mantis offre una nuova funzionalità di cambio DNS tramite il malware della campagna Wroba.o (aka Agent.eq, Moqhao, XLoader). Possiamo chiamare DNS changer un programma dannoso che reindirizza il tuo dispositivo connesso a un router Wi-Fi compromesso a un altro server controllato da criminali informatici anziché a un server DNS legittimo. In questo scenario, alla potenziale vittima viene chiesto di scaricare malware in grado di controllare il dispositivo o rubare le credenziali, dalla pagina di destinazione in cui si imbatte.
Attualmente, gli aggressori dietro Roaming Mantis prendono di mira solo i router situati in Corea del Sud e prodotti da un fornitore di apparecchiature di rete sudcoreano molto popolare. Nel dicembre 2022, Kaspersky ha osservato 508 download di APK dannosi nel paese.
Uno studio sulle pagine dannose ha rivelato che gli aggressori prendevano di mira anche altre regioni utilizzando lo smishing invece dei cambia DNS. Questa tecnica utilizza messaggi di testo per diffondere collegamenti che indirizzano la vittima a un sito di phishing per scaricare malware sul dispositivo o rubare informazioni sull'utente.
Secondo le statistiche di Kaspersky Security Network (KSN) per settembre-dicembre 2022, il più alto tasso di rilevamento del malware Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) in Francia (54,4%), Giappone (12,1%) e Stati Uniti ( 10,1%).
"Quando uno smartphone infetto si connette a router 'sani' in vari luoghi pubblici, come caffè, bar, biblioteche, hotel, centri commerciali, aeroporti e persino case, il malware Wroba.o viene trasmesso a questo router", ha affermato Suguru Ishimaru, Senior Security Researcher presso Kaspersky., e potrebbe influire sui dispositivi ad esso collegati. La nuova funzionalità di cambio DNS può gestire quasi tutti i dispositivi selezionati utilizzando il router Wi-Fi compromesso, come l'inoltro a host dannosi e la disattivazione degli aggiornamenti di sicurezza. "Riteniamo che questa scoperta sia fondamentale per la sicurezza informatica dei dispositivi Android perché ha il potenziale per diffondersi ampiamente nelle regioni mirate".
Per proteggere la tua connessione Internet da questa infezione, i ricercatori di Kaspersky consigliano di:
- Controlla il manuale del tuo router per verificare che le tue impostazioni DNS non siano state manomesse o contatta il tuo provider di servizi Internet per assistenza.
- Modifica il nome utente e la password predefiniti utilizzati per l'interfaccia web del tuo router e aggiorna regolarmente il firmware dalla fonte ufficiale.
- Non installare mai software del router da fonti di terze parti. Evita di utilizzare negozi di terze parti anche per i tuoi dispositivi Android.
- Inoltre, controlla sempre gli indirizzi del browser e del sito Web per assicurarti che siano sicuri; Ricordarsi di confermare la connessione protetta https:// quando viene richiesto di inserire i dati.
Sii il primo a commentare