Gli attori delle minacce associati alla campagna di attacco Roaming Mantis sono stati osservati mentre distribuivano una variante aggiornata del loro malware mobile brevettato, noto come Wroba, per infiltrarsi nei router Wi-Fi e intraprendere il dirottamento del Domain Name System (DNS).
Roaming Mantis, noto anche come Shaoye, è un’operazione di lunga data a scopo finanziario che individua gli utenti di smartphone Android con un malware in grado di rubare le credenziali dei conti bancari e di raccogliere altri tipi di informazioni sensibili. Sebbene abbia preso di mira principalmente la regione asiatica dal 2018, all’inizio del 2022 è stato rilevato che la banda di hacker ha ampliato la gamma di vittime includendo per la prima volta Francia e Germania, camuffando il malware come applicazione del browser web Google Chrome.
Gli attacchi sfruttano i messaggi di smishing come vettore di intrusione iniziale per fornire un URL trappola che offre un APK dannoso o reindirizza la vittima a pagine di phishing in base al sistema operativo installato nei dispositivi mobili.
In alternativa, alcune compromissioni hanno sfruttato anche i router Wi-Fi come mezzo per portare gli ignari utenti a una pagina di destinazione fasulla, utilizzando una tecnica chiamata DNS hijacking, in cui le query DNS vengono manipolate per reindirizzare gli obiettivi a siti fasulli. Indipendentemente dal metodo utilizzato, le intrusioni aprono la strada alla diffusione di un malware soprannominato Wroba (alias MoqHao e XLoader) che è in grado di svolgere una serie di attività nefaste.
L’ultimo aggiornamento di Wroba, secondo l’azienda russa di cybersicurezza, prevede una funzione di cambio DNS che è stata progettata per rilevare determinati router in base al loro numero di modello e avvelenare le loro impostazioni DNS. “La nuova funzionalità di DNS changer può gestire tutte le comunicazioni dei dispositivi che utilizzano il router Wi-Fi compromesso, come il reindirizzamento verso host dannosi e la disabilitazione degli aggiornamenti dei prodotti di sicurezza”, ha dichiarato Suguru Ishimaru, ricercatore di Kaspersky.
L’idea di fondo è quella di far sì che i dispositivi connessi al router Wi-Fi violato vengano reindirizzati a pagine web controllate dall’attore della minaccia per un ulteriore sfruttamento. Dato che alcune di queste pagine forniscono il malware Wroba, la catena di attacco crea effettivamente un flusso costante di “bot” che possono essere utilizzati per penetrare nei router Wi-Fi sani. È da notare che il programma di cambio DNS è utilizzato esclusivamente in Corea del Sud. Tuttavia, il malware Wroba è stato individuato come bersaglio di vittime in Austria, Francia, Germania, India, Giappone, Malesia, Taiwan, Turchia e Stati Uniti tramite smishing.
Wroba non è l’unico malware mobile in circolazione con funzionalità di dirottamento DNS. Nel 2016, Kaspersky ha smascherato un altro trojan Android con il nome in codice Switcher che attacca il router wireless alla cui rete è collegato il dispositivo infetto ed esegue un attacco brute-force con l’obiettivo di manomettere le configurazioni DNS. “Gli utenti con dispositivi Android infetti che si connettono a reti Wi-Fi pubbliche o gratuite possono diffondere il malware ad altri dispositivi in rete se la rete Wi-Fi a cui sono connessi è vulnerabile”, ha dichiarato il ricercatore.
