Kaspersky Lab detectó el pasado mes de abril un nuevo malware para Android distribuido a través de una técnica de secuestro del sistema de nombres de dominio (domain mane system-DNS) dirigido sobre todo a smartphones en Asia. Ahora ha alertado de que la amenaza ha ampliado su radio de acción para incluir Europa y Próximo Oriente, añadiendo una opción de phising para dispositivos iOS y capacidad de minería de criptomonedas.
Esta campaña, que se denomina Roaming Mantis, está diseñada para robar información del usuario, incluidas las credenciales, y para proporcionar a los ciberdelincuentes el control total sobre el dispositivo.
Los investigadores de Kaspersky Lab ha descubierto que los ciberatacantes que están detrás del Roaming Mantis buscan routers vulnerables para comprometer y distribuyen el malware mediante el secuestro de la configuración DNS de esos routers. Una vez que se secuestra, cualquier intento de los usuarios de acceder a sitios web los lleva a una URL, que aparenta ser auténtica, pero que tiene contenido falsificado procedente del servidor de los ciberdelincuentes.
La investigación inicial del especialista en seguridad identificó cerca de 150 objetivos, principalmente en Corea del Sur, Bangladesh y Japón, pero ahora se ha comprobado que se ha ampliado y soporta un total de 27 idiomas como incluyendo polaco, alemán, árabe, búlgaro y ruso.
“Cuando en abril informamos por primera vez sobre Roaming Mantis, ya dijimos que era una amenaza activa y rápidamente cambiante. Nuestra evidencia muestra una rápida expansión en los territorios objetivos para incluir a Europa y Próximo Oriente y más. Creemos que los atacantes son ciberdelincuentes que buscan un beneficio económico y hemos encontrado también pistas para sugerir que los atacantes son de habla china o coreana”, destacó Sugur Ishimaru, analista de seguridad de Kaspersky Lab Japón.
Kaspersky Lab señala que sus productos son capaces de detectar esta amenaza y aconseja una serie de buenas prácticas para proteger a la conexión a Internet de la infección como consultar el manual de usuario del router para verificar que la configuración no se ha visto alterada o contactar con el ISP para obtener información y asistencia.
Recomienda también cambiar el inicio de sesión y la contraseña de fábrica para la interfaz del administrador del router; no instalar el firmware del router desde fuentes de terceros y verificar las direcciones del navegador y del sitio web para asegurarse que sean legítimas.