Els investigadors de Kaspersky han informat sobre una nova funció de canvi de DNS utilitzada en l'operació Roaming Mantis. Roaming Mantis (també coneguda com Shaoye) és el nom d'una campanya o operació de cibercrim observada per primera vegada per Kaspersky el 2018. Utilitza fitxers de paquets Android (APK) maliciosos per manipular dispositius Android infectats i robar informació confidencial del dispositiu. També se sap que té una opció de pesca per a dispositius iOS i funcions de mineria criptogràfica per a ordinadors. El nom d'aquesta campanya prové de la seva propagació a través de telèfons intel·ligents en itinerància per xarxes Wi-Fi, potencialment transportant i propagant la infecció.
"Encaminadors públics i nova funcionalitat de canviador de DNS"
Kaspersky va descobrir recentment que Roaming Mantis introdueix una nova funcionalitat de canvi de DNS a través de Wroba.o (també conegut com Agent.eq, Moqhao, XLoader), el programari maliciós utilitzat a la campanya. Podem anomenar DNS Changer un programa maliciós que redirigeix el vostre dispositiu connectat a un encaminador Wi-Fi compromès a un altre servidor controlat per cibercriminals en lloc d'un servidor DNS legítim. En aquest escenari, se li demana a la víctima potencial que descarregui programari maliciós de la pàgina de destinació que pot controlar el dispositiu o robar les credencials.
Actualment, els atacants darrere de Roaming Mantis només s'apunten a encaminadors situats a Corea del Sud i fabricats per un venedor d'equips de xarxa molt popular de Corea del Sud. El desembre de 2022, Kaspersky va observar 508 descàrregues d'APK malicioses al país.
Un estudi de pàgines malicioses va revelar que els atacants també s'orientaven a altres regions utilitzant smishing en lloc de canviadors de DNS. Aquesta tècnica utilitza missatges de text per difondre enllaços que dirigeixen la víctima a un lloc de pesca per descarregar programari maliciós al dispositiu o robar informació de l'usuari.
Segons les estadístiques de Kaspersky Security Network (KSN) de setembre a desembre de 2022, la taxa de detecció més alta de programari maliciós Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) és França (54,4%), Japó (12,1%) i es va produir. als EUA (10,1%).
"Quan un telèfon intel·ligent infectat està connectat a encaminadors" saludables "en diversos llocs públics com ara cafeteries, bars, biblioteques, hotels, centres comercials, aeroports i fins i tot cases, el programari maliciós Wroba.o ataca aquest encaminador", ha afegit Suguru Ishimaru, investigador sènior de seguretat de Kaspersky. Va dir. Pot posar en perill els vostres dispositius i també pot afectar els dispositius connectats. La nova funció de canvi de DNS pot manipular gairebé qualsevol selecció de dispositius, com ara redirigir a amfitrions maliciosos i desactivar les actualitzacions de seguretat mitjançant l'encaminador Wi-Fi compromès. "Creiem que aquest descobriment és extremadament crític per a la ciberseguretat dels dispositius Android perquè té el potencial de propagar-se àmpliament a les regions objectiu".
Per protegir la vostra connexió a Internet d'aquesta infecció, els investigadors de Kaspersky recomanen el següent:
- Per verificar que la configuració del DNS no s'ha manipulat, consulteu el manual d'usuari del vostre encaminador o poseu-vos en contacte amb el vostre proveïdor de serveis d'Internet per obtenir assistència.
- Canvieu el nom d'usuari i la contrasenya predeterminats utilitzats per a la interfície web del vostre encaminador i actualitzeu el microprogramari regularment des de la font oficial.
- No instal·leu mai programari d'encaminador de fonts de tercers. Eviteu també utilitzar botigues de tercers per als vostres dispositius Android.
- A més, comproveu sempre les adreces del navegador i dels llocs web per assegurar-vos que són segurs; Quan se us demani que introduïu dades, no us oblideu de confirmar que hi ha una connexió segura a https://.
Sigues el primer a comentar