Lo scorso 16 aprile, i ricercatori di Kaspersky Lab hanno segnalato la scoperta di un nuovo malware Android distribuito con una tecnica basata sul DNS hijacking (reindirizzamento DNS) e rivolto principalmente agli smartphone del continente asiatico. Quattro settimane dopo, la minaccia ha continuato ad evolversi in modo molto rapido e ora ha allargato l’area geografica d’azione, includendo tra gli obiettivi anche l’Europa e il Medio Oriente e aggiungendo un’opzione di phishing per i dispositivi iOS e funzionalità di crypto-mining. La campagna, soprannominata Roaming Mantis, è progettata soprattutto per rubare informazioni agli utenti, comprese le loro credenziali, e per dare agli attaccanti il pieno controllo sul dispositivo compromesso. I ricercatori credono che dietro l’operazione ci sia un gruppo di cybercriminali di lingua coreana o cinese a caccia di guadagni.
Metodo di attacco
Le ricerche di Kaspersky Lab mostrano come gli attaccanti dietro Roaming Mantis siano alla ricerca di router vulnerabili per comprometterli e distribuiscano il malware attraverso un trucco semplice, ma molto efficace, di dirottamento delle impostazioni DNS proprio di quei router infetti. Il metodo di compromissione del router è ancora sconosciuto. Una volta che il DNS è stato violato con successo, qualsiasi tentativo di accesso da parte dell’utente a qualunque sito web lo porterà ad un URL dall’aspetto autentico, con contenuti contraffatti provenienti dal server degli attaccanti. Questo processo include una richiesta: “Per una miglior esperienza di navigazione, scarica l’ultima versione di Chrome”. Cliccando sul link relativo, si dà avvio all’installazione di un’applicazione con funzionalità Trojan, denominata “facebook.apk” o “chrome.apk”, che contiene la backdoor per Android degli attaccanti.
Il malware Roaming Mantis verifica se il dispositivo è stato agganciato e richiede il permesso di essere informato sulle eventuali comunicazioni o attività di navigazione intraprese dall’utente. È anche in grado di raccogliere una grande mole di dati, comprese le credenziali per l’autenticazione a due fattori. L’interesse verso questo tipo di informazioni e il fatto che parte del codice malware includa riferimenti al mobile banking e agli ID delle applicazioni di gioco popolari nella Corea del Sud, suggeriscono come dietro la campagna possa celarsi un possibile fine economico.
Allargamento degli obiettivi: caratteristiche e geografia
La ricerca iniziale di Kaspersky Lab aveva individuato circa 150 obiettivi, per lo più nella Corea del Sud, in Bangladesh e in Giappone, ma aveva anche scoperto migliaia di connessioni quotidiane ai server command & control (C2) degli attaccanti, il che aveva fatto subito pensare ad un attacco su scala ben più ampia. Il malware includeva supporto per quattro lingue, ovvero coreano, cinese semplificato, giapponese e inglese.
Il range dell’attacco ora si è esteso, includendo il supporto in 27 lingue in totale e comprendendo così anche l’italiano, il polacco, il tedesco, l’arabo, il bulgaro e il russo . Gli attaccanti hanno incluso anche un reindirizzamento a pagine tematiche Apple, con funzionalità di phishing, nel caso in cui il malware si imbatta in un dispositivo iOS. L’ultima arma introdotta nell’arsenale di questi attaccanti è un sito web dannoso con funzionalità di crypto mining per PC. Le analisi di Kaspersky Lab mostrano come si sia verificata almeno un’ondata di attacchi più vasti: i ricercatori, infatti, hanno rilevato oltre 100 obiettivi attaccati tra i clienti Kaspersky Lab nel giro di pochi giorni.
“Quando abbiamo parlato di Roaming Mantis la prima volta, lo scorso aprile, avevamo detto che si trattava di una minaccia molto attiva e in rapida evoluzione. Le nuove prove mostrano ora una drammatica espansione nella geografia degli obiettivi, che include anche l’Europa, il Medio Oriente e altre regioni. Crediamo che gli attaccanti siano dei cybercriminali alla ricerca di guadagno e abbiamo rintracciato diversi indizi che suggeriscono che si possa trattare di attaccanti di lingua cinese o coreana. La motivazione dietro questo tipo di minaccia deve essere di sicuro importante, quindi è probabile che non si attenuerà in poco tempo. L’utilizzo di router infetti e di DNS dirottati sottolinea la necessità di una protezione forte per i dispositivi e di una connessione sicura”, ha commentato Suguru Ishimaru, Security Researcher di Kaspersky Lab Giappone.
I prodotti Kaspersky Lab rilevano la minaccia Roaming Mantis segnalando la presenza di “Trojan-Banker.AndroidOS.Wroba”.
Per proteggere la propria connessione internet da questa minaccia, Kaspersky Lab consiglia di:
• Fare riferimento al manuale dell’utente del router per verificare che le impostazioni DNS non siano state manomesse o eventualmente contattare il proprio provider dei servizi internet per chiedere supporto.
• Modificare il nome utente e la password predefinite per l’interfaccia web di amministrazione del router e aggiornare regolarmente il suo firmware da fonte ufficiale.
• Non installare mai il firmware del router usando fonti di terze parti. Non usare mai repository di terze parti per i dispositivi Android.
• Controllare sempre il browser e gli indirizzi dei siti web per essere sicuri che si tratti di collegamenti legittimi; verificare la presenza della dicitura “https” nell’indirizzo delle pagine che richiedono l’inserimento dei propri dati.
• Prendere in considerazione l’installazione di una soluzione per la mobile security, come Kaspersky Internet Security for Android, per proteggere i propri dispositivi da questa e da altre minacce.
Ulteriori informazioni e dettagli tecnici su Roaming Mantis sono disponibili in questo blogpost su Securelist.
