el grupo de pirata informático que está detrás de su distribución Programa malicioso itinerante Mantis, actualizó la versión de Android del malware para incluir un convertidor de DNS
Su método Cambiador DNS modifica la configuración de DNS en enrutadores WiFi vulnerables para propagar la infección a otros dispositivos.
Por Las Septiembre de 2022, los investigadores de seguridad notaron que el grupo de hackers detrás del malware de “Mantis itinerante”, procedieron a distribuir una nueva versión del malware Wroba.o/XLoader en Android, que detecta enrutadores WiFi vulnerables en función de su modelo y cambia su DNS.
Luego, el malware crea una solicitud HTTP para alterar la configuración de DNS de un enrutador WiFi vulnerable, lo que hace que los dispositivos conectados sean redirigidos a sitios web maliciosos que alojan formularios de phishing o descargan malware de Android.
La nueva variante del malware Wroba.o/XLoader para Android descubierto por ellos investigadores de Kaspersky, La quienes han estado monitoreando la actividad de transmisión de Mantis durante años. Kaspersky explica que el Mantis itinerante utiliza su método Secuestro de DNS al menos desde 2018, pero el elemento nuevo en su lanzamiento reciente es que el malware apunta a enrutadores específicos.
La última campaña que utiliza este malware actualizado se dirige a modelos específicos de enrutadores WiFi que se utilizan principalmente en Corea del Sur. Sin embargo, los piratas informáticos pueden cambiarlo en cualquier momento para incluir otros enrutadores de uso común en otros países.
Este enfoque les permite realizar ataques más dirigidos y comprometer solo a usuarios y áreas específicos, evitando la detección en todos los demás casos.
Anterior Roaming Mantis ataca a usuarios específicos de Japón, Austria, Francia, Alemania, Turquía, Malasia e India.
Un nuevo solucionador de DNS del enrutador
Sus últimas ediciones Mantis itinerante utilizar mensajes de texto de phishing SMS (Smishing) para dirigir objetivos a un sitio web malicioso.
Si el dispositivo del usuario es Android, le pedirá al usuario que instale uno APK malicioso, que está cargado con el software malicioso Wroba.o/XLoader, mientras que contrariamente a los usuarios IOS de Apple, la página de destino redirigirá a los usuarios a una página de phishing que intenta robar las credenciales.
Una vez que el malware XLoader está instalado en el dispositivo Android de la víctima, obtiene la dirección IP de la puerta de enlace predeterminada del enrutador WiFi conectado y luego intenta acceder al menú de administración del enrutador usando una contraseña predeterminada para descubrir el modelo del dispositivo.
XLoader Comprobar modelo de enrutador WiFi (Kaspersky)
XLoader ahora incluye 113 cadenas codificadas con un código utilizado para investigar modelos específicos de enrutadores WiFi, y si se encuentra una coincidencia, el malware procede a piratear el DNS cambiando la configuración del enrutador.
El malware realiza un cambio de DNS en el enrutador (Kaspersky)
Η Kaspersky afirma que el Cambiador DNS utiliza credenciales predeterminadas (admin / admin) para acceder al enrutador y luego realizar cambios en la configuración de DNS utilizando diferentes métodos según el modelo detectado.
Los analistas también explican que el servidor DNS utilizado por el mantis itinerante, solo cambia ciertos nombres de dominio a ciertas páginas de destino cuando se accede desde un teléfono inteligente.
La propagación de la infección
Con la configuración de DNS en el enrutador ahora cambiada, cuando otros dispositivos Android se conecten a la red WiFi, serán redirigidos automáticamente a la página de destino maliciosa y se les pedirá que instalen el malware.
Este hecho crea un flujo constante de dispositivos infectados para hackear aún más otros enrutadores WiFi limpios en redes públicas, atendiendo a una gran cantidad de personas en el país.
Η Kaspersky advierte que esta función le da al equipo de Roaming Mantis la capacidad de expandirse peligrosamente, lo que permite que el malware se propague sin control.
Aunque no hay páginas de destino ubicadas en Estados Unidos y Roaming Mantis no parece apuntar activamente a los modelos de enrutadores en uso en el país, sus estadísticas Kaspersky mostrar que el El 10% de todas las víctimas de XLoader están en los EE. UU..
Los usuarios pueden protegerse de sus ataques. Mantis itinerante evitar hacer clic en los enlaces recibidos por SMS, sin embargo, es aún más importante evite instalar un APK fuera de Google Play Store.
No te olvides de seguirlo xiaomi-miui.gr en noticias de Google para estar informado inmediatamente sobre todos nuestros nuevos artículos! También puede, si usa un lector de RSS, agregar nuestra página a su lista simplemente siguiendo este enlace >> https://news.xiaomi-miui.gr/feed/gn
Siga con nosotros Telegram ¡para que seas el primero en conocer todas nuestras novedades!
