Vari ricercatori di sicurezza hanno pubblicato avvisi per mettere in guardia gli utenti riguardo una campagna, tutt'ora in corso, di dirottamento (hijacking) delle impostazioni DNS di router vulnerabili per reindirizzare gli utenti verso siti web contenenti malware per Android.
Si tratterebbe di un attacco su piccola scala, dato che i truffatori hanno dirottato soltanto 150 indirizzi IP unici, reindirizzando gli utenti verso siti dannosi non più di 6000 volte tra Febbraio e Aprile 2018. I ricercatori non sono riusciti a ricostruire come abbiano fatto i truffatori a ottenere l'accesso ad alcuni router home e modificare quindi le impostazioni DNS, ma hanno almeno ottenuto un campione del malware Android usato in questi attacchi: si tratta di una variante unica, chiamata Roaming Mantis, pensato appositamente per modificare le impostazioni DNS e dirottare il traffico degli utenti (ma non è affatto il primo, ne ricordiamo altri due casi: DNSChanger e OSX/MaMi per Mac).
Il malware viene nascosto in cloni di Chrome e Facebook
Per questo attacco gli attaccanti reindirizzano gli utenti verso pagine che vendono app Android clone come Google Chrome (chrome.apk) e Facebook (facebook.apk). Entrambe queste app richiedevano autorizzazioni eccessive che, se concesse dall'utente ingannato, garantivano l'accesso totale degli attaccanti allo smartphone della vittima. Oppure ancora gli utenti vengono reindirizzati su pagine web compromesse dove insistenti avvisi vengono mostrati agli utenti finché l'utente non esegue il download di un falso update.
Una volta scaricato il malware mostra finestre di avviso sopra ogni altra app, mostrando il seguente avviso: "Account No.exists risks, use after certification." Quindi Mantis avvia un web server locale sul dispositivo e apre le nuove app browser per aprire false versioni del sito web di Google, chiedendo agli utenti di indicare nome e data di nascita.
Il malware Roaming Mantis sembra essere un information stealer, cioè un malware pensato appositamente per rubare informazioni: non è risultato infatti programmato per sottrarre fondi, ma per concentrarsi sul furto di credenziali (credenziali di login, dettagli account bancario ecc..), registrazione di audio, controllo di eventuali dispositivi esterni, intercettazione SMS/MMS ecc...
Il malware Roaming Mantis sembra essere un information stealer, cioè un malware pensato appositamente per rubare informazioni: non è risultato infatti programmato per sottrarre fondi, ma per concentrarsi sul furto di credenziali (credenziali di login, dettagli account bancario ecc..), registrazione di audio, controllo di eventuali dispositivi esterni, intercettazione SMS/MMS ecc...
La diffusione
Secondo i ricercatori le app compromesse erano diffuse su siti web in 5 lingue (Coreano, Cinese Tradizionale, Cinese semplificato, Giapponese, Inglese) e avrebbero colpito principalmente vittime in Corea del Sud, Giappone, India ecc...
La particolarità in questo caso però non è tanto legata alla diffusione geografica di questo malware, ma a quella "tecnica": il malware in questione non è niente di spettacolare (il codice sorgente è piuttosto basilare), ma fuori dall'ordinario è il suo metodo di distribuzione, ovvero il dirottamento delle impostazioni DNS sui router domestici. Qualcosa che non si era mai visto fino ad oggi per diffondere malware per Android. L'uso dei router compromessi per la distribuzione di malware sta lentamente diventando una tendenza: sempre più spesso i router finiscono "vittime" di botnet IoT, reti Proxy e gruppi di cyber spionaggio.
