Colpisce ora anche Europa e Medio Oriente, con una nuova opzione di phishing con funzionalità di crypto-mining

Roaming Mantis

Quattro settimane dopo la scoperta di un nuovo malware Android distribuito con una tecnica basata sul DNS hijacking (reindirizzamento DNS) e rivolto principalmente agli smartphone del continente asiatico, avvenuta lo scorso 16 aprile, la minaccia ha continuato a svilupparsi molto rapidamente. L’area geografica d’azione è ora più estesa, includendo anche l’Europa e il Medio Oriente; è stata inoltre aggiunta un’opzione di phishing per i dispositivi iOS e funzionalità di crypto-mining. La campagna, soprannominata Roaming Mantis, è progettata soprattutto per rubare informazioni agli utenti, comprese le loro credenziali, e per dare agli attaccanti il pieno controllo sul dispositivo compromesso. I ricercatori credono che dietro l’operazione ci sia un gruppo di cybercriminali di lingua coreana o cinese a caccia di guadagni.

Metodo di attacco

Secondo i ricercatori, gli attaccanti dietro Roaming Mantis sono alla ricerca di router vulnerabili per comprometterli, e distribuiscono il malware attraverso un trucco semplice ma molto efficace di dirottamento delle impostazioni DNS dei router infetti. Il metodo di compromissione del router è ancora sconosciuto. Una volta che il DNS è stato violato con successo, qualsiasi tentativo di accesso da parte dell’utente a qualunque sito web lo porterà ad un URL dall’aspetto autentico, con contenuti contraffatti provenienti dal server degli attaccanti. Questo processo include una richiesta: “Per una miglior esperienza di navigazione, scarica l’ultima versione di Chrome”. Cliccando sul link relativo, si dà avvio all’installazione di un’applicazione con funzionalità Trojan, denominata “facebook.apk” o “chrome.apk”, che contiene la backdoor per Android degli attaccanti.

Il malware Roaming Mantis verifica se il dispositivo è stato agganciato e richiede il permesso di essere informato sulle eventuali comunicazioni o attività di navigazione intraprese dall’utente. È anche in grado di raccogliere una grande mole di dati, comprese le credenziali per l’autenticazione a due fattori. L’interesse verso questo tipo di informazioni e il fatto che parte del codice malware includa riferimenti al mobile banking e agli ID delle applicazioni di gioco popolari nella Corea del Sud, suggeriscono come dietro la campagna possa celarsi un possibile fine economico.

Allargamento degli obiettivi: caratteristiche e geografia

La ricerca iniziale aveva individuato circa 150 obiettivi, per lo più nella Corea del Sud, in Bangladesh e in Giappone, ma aveva anche scoperto migliaia di connessioni quotidiane ai server command & control (C2) degli attaccanti, il che aveva fatto subito pensare ad un attacco su scala ben più ampia. Il malware includeva supporto per quattro lingue, ovvero coreano, cinese semplificato, giapponese e inglese.

Il range dell’attacco ora si è esteso, includendo il supporto in 27 lingue in totale e comprendendo così anche l’italiano, il polacco, il tedesco, l’arabo, il bulgaro e il russo. Gli attaccanti hanno incluso anche un reindirizzamento a pagine tematiche Apple, con funzionalità di phishing, nel caso in cui il malware si imbatta in un dispositivo iOS. L’ultima arma introdotta nell’arsenale di questi attaccanti è un sito web dannoso con funzionalità di crypto mining per PC. Le analisi mostrano come si sia verificata almeno un’ondata di attacchi più vasti: i ricercatori, infatti, hanno rilevato oltre 100 obiettivi attaccati nel giro di pochi giorni.

“Quando abbiamo parlato di Roaming Mantis la prima volta, lo scorso aprile, avevamo detto che si trattava di una minaccia molto attiva e in rapida evoluzione. Le nuove prove mostrano ora una drammatica espansione nella geografia degli obiettivi, che include anche l’Europa, il Medio Oriente e altre regioni. Crediamo che gli attaccanti siano dei cybercriminali alla ricerca di guadagno e abbiamo rintracciato diversi indizi che suggeriscono che si possa trattare di attaccanti di lingua cinese o coreana. La motivazione dietro questo tipo di minaccia deve essere di sicuro importante, quindi è probabile che non si attenuerà in poco tempo. L’utilizzo di router infetti e di DNS dirottati sottolinea la necessità di una protezione forte per i dispositivi e di una connessione sicura”, ha commentato Suguru Ishimaru, Security Researcher di Kaspersky Lab Giappone.

Come proteggere la propria connessione internet da questa minaccia?

  • Fare riferimento al manuale dell’utente del router per verificare che le impostazioni DNS non siano state manomesse o eventualmente contattare il proprio provider dei servizi internet per chiedere supporto.
  • Modificare il nome utente e la password predefinite per l’interfaccia web di amministrazione del router e aggiornare regolarmente il suo firmware da fonte ufficiale.
  • Non installare mai il firmware del router usando fonti di terze parti. Non usare mai repository di terze parti per i dispositivi Android.
  • Controllare sempre il browser e gli indirizzi dei siti web per essere sicuri che si tratti di collegamenti legittimi; verificare la presenza della dicitura “https” nell’indirizzo delle pagine che richiedono l’inserimento dei propri dati.
  • Prendere in considerazione l’installazione di una soluzione per la mobile security.