El malware Roaming Mantis, fue descubierto secuestrando los enrutadores de Internet para distribuir malware de banca Android diseñado para robar las credenciales de inicio de sesión de los usuarios y el código secreto para la autenticación.
La campaña Roaming Mantis, ha
ampliado sus objetivos al agregar ataques de phishing para dispositivos iOS y
script de minería de cifrado para usuarios de PC.
El nuevo malware, se distribuye mediante el secuestro de DNS, donde los
atacantes cambian la configuración DNS de los enrutadores inalámbricos para
redirigir el tráfico a sitios web maliciosos controlados por ellos.
Por lo tanto, cada vez que los usuarios intentan acceder a cualquier sitio web
a través de un enrutador comprometido, se les redirige a sitios web deshonestos,
como: aplicaciones falsas infectadas con malware bancario para usuarios de
Android y sitios de phishing para usuarios de iOS.
Una vez instalados, los
atacantes pueden controlar los dispositivos infectados de Android usando 19
comandos internos incorporados, como: sendSms, setWifi, gcont, lock,
onRecordAction, call, get_apps, ping, entre otros.
Si las víctimas poseen un
dispositivo iOS, el malware redirige a los usuarios a un sitio de phishing que
imita el sitio web de Apple, afirmando ser “security.app.com”, y les pide que
ingresen su identificación de usuario, contraseña, número de tarjeta y fecha de
vencimiento de la tarjeta. y número CVV.
Para protegerse de dicho malware, se le recomienda asegurarse de que el
enrutador ejecute la última versión del firmware y esté protegido con una
contraseña segura.
Se recomienda a los usuarios de dispositivos Android que instalen aplicaciones en tiendas oficiales.
Se recomienda a los usuarios de dispositivos Android que instalen aplicaciones en tiendas oficiales.
Para verificar si su enrutador
Wi-Fi ya está comprometido, revise su configuración de DNS y verifique la
dirección del servidor DNS. Si no coincide con el emitido por su
proveedor, cámbielo a la correcta. También cambie todas las contraseñas de
su cuenta de inmediato.
Fuente: The Hacker News
Fuente: The Hacker News