Los analistas de Kaspersky alertan de un nuevo sistema de manipulación de DNS en una campaña del virus Roaming Mantis. Ahora, los cibercriminales pueden comprometer los routers de aeropuertos, bares, hoteles y otros lugares públicos para infectar móviles Android con el malware Wroba.o. Esta nueva técnica se ha detectado en Corea del Sur, pero ya ha llegado a otros países.

Roaming Mantis (a.k.a Shaoye) es una campaña cibercriminal detectada por Kaspersky en 2018. Utiliza archivos de paquetes de Android (APK) infectados para controlar el dispositivo y robar información del mismo. También cuenta con una opción de phishing para equipos con iOS y capacidades de criptominería para PC. El nombre de la campaña se debe a su propagación a través de teléfonos conectados a redes Wi-Fi para transmitir y propagar la infección.

Kaspersky descubrió que Roaming Mantis introdujo recientemente una nueva funcionalidad de manipulación del sistema de nombres de dominio (DNS) en Wroba.o (también conocido como Agent.eq, Moqhao, XLoader), el malware utilizado principalmente en la campaña. La manipulación del DNS se realiza con un programa malicioso que dirige el dispositivo conectado a un router Wi-Fi comprometido y a un servidor bajo el control de los ciberdelincuentes en lugar de a un servidor DNS legítimo. A través de una web falsa, se pide a la víctima que descargue un archivo que contiene malware, el cual controlará el dispositivo y robará credenciales.

Por el momento, la amenaza se dirige a routers localizados en Corea del Sur y desarrollados por una popular marca de este tipo de dispositivos en el país. Para identificarlos, la funcionalidad de manipulación de DNS consigue la dirección IP y accede al modelo de router, cambiando la configuración del DNS.

Una investigación de las páginas de Internet hacia las que se redirigía a las víctimas descubrió que los atacantes también actúan en otros países utilizando el smishing, en lugar de manipular el DNS. Esta técnica usa mensajes de texto fraudulentos para difundir enlaces maliciosos que llevan a la víctima a un sitio desde el que el usuario descarga archivos infectados o se le roba información mediante phishing.

Japón encabeza la lista de descargas de archivos APK infectados desde las landing pages creadas por los cibercriminales, con casi 25.000. Austria y Francia siguen al país nipón, con 7.000 descargas cada uno. Alemania, Turquía, Malasia e India cierran la lista. Los analistas de Kaspersky creen que los ciberdelincuentes pronto podrían actualizar la función de cambio de DNS para vulnerar los routers Wi-Fi de esos países.

Según las estadísticas de Kaspersky Security Network (KSN), de septiembre a diciembre de 2022 el mayor ratio de detección del malware Wroba.o (o Trojan-Dropper.AndroidOS.Wroba.o) se detectó en Francia (54,4%), Japón (12,1% y Estados Unidos (10,1%).

“Cuando un móvil infectado se conecta a routers supuestamente de confianza en diferentes lugares, como cafés, bares, librerías, hoteles, centros comerciales, aeropuertos e, incluso, hogares, el malware Wroba.o puede comprometer los routers e infectar también a otros dispositivos que estén conectados. La nueva funcionalidad que manipula el DNS puede controlar todas las comunicaciones de los dispositivos al comprometer el router Wi-Fi, redirigiendo a la víctima a sitios maliciosos y desactivando las actualizaciones de las aplicaciones de seguridad. Creemos que este descubrimiento es crítico para la seguridad de los dispositivos Android porque se puede expandir con mucha rapidez”, explica Suguri Ishimaru, analista senior de seguridad de Kaspersky.