Els investigadors de Kaspersky han informat d'una nova funció de canvi de DNS utilitzada en l'operació Roaming Mantis. Roaming Mantis (també coneguda com Shaoye) és el nom d'una campanya o operació de cibercrim observada per primera vegada per Kaspersky el 2018. Utilitza fitxers de paquets Android (APK) maliciosos per gestionar els dispositius Android infectats i robar informació confidencial del dispositiu. També se sap que té una opció de pesca per a dispositius iOS i funcions de mineria criptogràfica per a ordinadors. El nom d'aquesta campanya es deu a la seva propagació a través de telèfons intel·ligents en itinerància per xarxes Wi-Fi, potencialment transportant i propagant la infecció.
"Encaminadors públics i nova funcionalitat de canviador de DNS"
Kaspersky va descobrir recentment que Roaming Mantis ofereix una nova funcionalitat de canvi de DNS mitjançant el programari maliciós de campanya Wroba.o (també conegut com Agent.eq, Moqhao, XLoader). Podem anomenar DNS Changer un programa maliciós que redirigeix el vostre dispositiu connectat a un encaminador Wi-Fi compromès a un altre servidor controlat per cibercriminals en lloc d'un servidor DNS legítim. En aquest escenari, se li demana a la víctima potencial que descarregui programari maliciós que pugui controlar el dispositiu o robar credencials, des de la pàgina de destinació que trobi.
Actualment, els atacants darrere de Roaming Mantis només s'apunten a encaminadors situats a Corea del Sud i fabricats per un venedor d'equips de xarxa molt popular de Corea del Sud. El desembre de 2022, Kaspersky va observar 508 descàrregues d'APK malicioses al país.
Un estudi de pàgines malicioses va revelar que els atacants també s'apuntaven a altres regions utilitzant smishing en lloc de canviadors de DNS. Aquesta tècnica utilitza missatges de text per difondre enllaços que dirigeixen la víctima a un lloc de pesca per descarregar programari maliciós al dispositiu o robar informació de l'usuari.
Segons les estadístiques de Kaspersky Security Network (KSN) de setembre a desembre de 2022, la taxa de detecció més alta de programari maliciós Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) a França (54,4%), Japó (12,1%) i els EUA ( 10,1%).
"Quan un telèfon intel·ligent infectat es connecta a encaminadors" saludables "en diversos llocs públics, com ara cafeteries, bars, biblioteques, hotels, centres comercials, aeroports i fins i tot cases, el programari maliciós Wroba.o es transmet a aquest encaminador", va dir Suguru Ishimaru. Investigador sènior de seguretat de Kaspersky., i pot afectar els dispositius connectats. La nova funcionalitat del canviador de DNS pot gestionar gairebé qualsevol selecció de dispositius mitjançant l'encaminador Wi-Fi compromès, com ara el reenviament a amfitrions maliciosos i la desactivació de les actualitzacions de seguretat. "Creiem que aquest descobriment és fonamental per a la ciberseguretat dels dispositius Android perquè té el potencial de propagar-se àmpliament a les regions objectiu".
Per protegir la vostra connexió a Internet d'aquesta infecció, els investigadors de Kaspersky recomanen:
- Consulteu el manual del vostre encaminador per verificar que la vostra configuració de DNS no s'ha manipulat o poseu-vos en contacte amb el vostre proveïdor de serveis d'Internet per obtenir assistència.
- Canvieu el nom d'usuari i la contrasenya predeterminats utilitzats per a la interfície web del vostre encaminador i actualitzeu el microprogramari regularment des de la font oficial.
- No instal·leu mai programari d'encaminador de fonts de tercers. Eviteu també utilitzar botigues de tercers per als vostres dispositius Android.
- A més, comproveu sempre les adreces del navegador i dels llocs web per assegurar-vos que són segurs; Recordeu confirmar la connexió segura https:// quan se us demani que introduïu dades.
Günceleme: 31/01/2023 14:22
Sigues el primer a comentar