Malware móvil que secuestra la configuración de DNS de los enrutadores Wi-Fi

Iniciado por Dragora, Enero 21, 2023, 06:41:15 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Se ha observado que los actores de amenazas asociados con la campaña de ataque Roaming Mantis entregan una variante actualizada de su malware móvil patentado conocido como Wroba para infiltrarse en los enrutadores Wi-Fi y llevar a cabo el secuestro del Sistema de Nombres de Dominio ( DNS ).

Kaspersky, que llevó a cabo un análisis del artefacto malicioso, dijo que la función está diseñada para apuntar a enrutadores Wi-Fi específicos ubicados en Corea del Sur.

Roaming Mantis, también conocido como Shaoye, es una operación de motivación financiera de larga duración que selecciona a los usuarios de teléfonos inteligentes Android con malware capaz de robar credenciales de cuentas bancarias y recopilar otros tipos de información confidencial.

Aunque se centró principalmente en la región asiática desde 2018, se detectó que el equipo de piratería expandía su rango de víctimas para incluir a Francia y Alemania por primera vez a principios de 2022 al camuflar el malware como la aplicación del navegador web Google Chrome.

Los ataques aprovechan los mensajes de smishing como el vector de intrusión inicial de elección para entregar una URL trampa que ofrece un APK malicioso o redirige a la víctima a páginas de phishing basadas en el sistema operativo instalado en los dispositivos móviles.


Alternativamente, algunos compromisos también han aprovechado los enrutadores de Wi-Fi como un medio para llevar a los usuarios desprevenidos a una página de destino falsa mediante el uso de una técnica llamada secuestro de DNS , en la que las consultas de DNS se manipulan para redirigir a los objetivos a sitios falsos.

Independientemente del método utilizado, las intrusiones allanan el camino para la implementación de un malware denominado Wroba (también conocido como MoqHao y XLoader) que está equipado para llevar a cabo una gran cantidad de actividades nefastas.

La última actualización de Wroba, según la compañía rusa de ciberseguridad, incluye una función de cambio de DNS que está diseñada para detectar ciertos enrutadores en función de sus números de modelo y envenenar su configuración de DNS.

"La nueva funcionalidad de cambiador de DNS puede administrar todas las comunicaciones de los dispositivos que utilizan el enrutador Wi-Fi comprometido, como redirigir a hosts maliciosos y deshabilitar las actualizaciones de los productos de seguridad", dijo el investigador de Kaspersky Suguru Ishimaru.

La idea subyacente es hacer que los dispositivos conectados al enrutador Wi-Fi violado sean redirigidos a páginas web controladas por el actor de amenazas para una mayor explotación. Dado que algunas de estas páginas entregan el malware Wroba, la cadena de ataque crea efectivamente un flujo constante de "bots" que pueden convertirse en armas para entrar en enrutadores Wi-Fi saludables.

Es notable que el programa de cambio de DNS se use exclusivamente en Corea del Sur. Sin embargo, el malware Wroba en sí mismo ha sido detectado atacando a víctimas en Austria, Francia, Alemania, India, Japón, Malasia, Taiwán, Turquía y EE. UU. a través de smishing.

Wroba está lejos de ser el único malware móvil existente con funciones de secuestro de DNS. En 2016, Kaspersky desenmascaró otro troyano de Android con nombre en código Switcher que ataca el enrutador inalámbrico a cuya red está conectado el dispositivo infectado y realiza un ataque de fuerza bruta con el objetivo de alterar las configuraciones de DNS.

"Los usuarios con dispositivos Android infectados que se conectan a redes Wi-Fi gratuitas o públicas pueden propagar el malware a otros dispositivos en la red si la red Wi-Fi a la que están conectados es vulnerable", dijo el investigador.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta