Los expertos alertan de una nueva campaña en la que el malware Roaming Mantis se propaga a través de los dispositivos conectados a la red wifi aprovechando un nuevo sistema de manipulación de DNS.
Roaming Mantis no es un nuevo virus. Los investigadores de ciberseguridad de Kaspersky lo detectaron por primera vez en 2018. Se trata de un malware que utiliza archivos de Android (APK) infectados para hacerse con el control del dispositivo y robar toda la información que contiene.
Pero los dispositivos iOS tampoco están a salvo de esta amenaza. Roaming Mantis cuenta con una opción de phishing para este sistema operativo, así como capacidades de criptominería para PC.
Ahora, esta amenaza da un paso más en su evolución incluyendo una nueva funcionalidad manipulando el sistema de nombres de dominio (DNS) bajo el nombre de Wroba. Con ello consigue infectar los routers wifi y secuestrar la configuración de DNS de los equipos.
Para manipular los DNS, los ciberdelincuentes utilizan un programa malicioso que dirige el dispositivo conectado a un router wifi comprometido y a un servidor de los ciberdelincuentes. Posteriormente, utilizando una web falsa, solicitan a la víctima que descargue un archivo que contiene malware y que, una vez descargado, se hace con el control del dispositivo, llegan a robar las credenciales y toda la información que contenga.
Propagación y variantes
Aunque, por el momento, solo han detectado amenazas con Roaming Mantis dirigidas a routers ubicados en Corea del Sur, los expertos no descartan que lleguen en breve a otros países.
Al ahondar en las páginas web a las que los ciberdelincuentes redirigen a las víctimas, han descubierto que también están actuando en otras regiones mediante la técnica del smishing, esto es, haciendo uso de mensajes SMS con enlaces maliciosos en lugar de manipular el DNS.
En este caso, los enlaces incluidos en estos SMS llevan a las víctimas a páginas web en las que descargan los archivos infectados, o se les roba la información mediante phishing.
Si bien Japón es el país en el que se han descargado más archivos APK infectados desde páginas web creadas por los criminales, con 25.000 descargas, Austria y Francia le siguen con 7.000 descargas en cada uno de estos dos países.
Esta evolución lleva a los analistas de la compañía a alertar ante la proliferación de este malware que podría actualizar la función de cambio de DNS en breve para infectar los routers de más países.
Esto propagaría más esta amenaza ya que, cuando un móvil infectado se conecta a routers de lugares públicos, como bares, cafeterías, hoteles, centros comerciales o aeropuertos, o incluso domésticos, el malware puede comprometerlos e infectar otros dispositivos conectados a ellos.
La nueva funcionalidad que manipula el DNS puede controlar todas las comunicaciones de los dispositivos al comprometer el router wifi, redirigiendo a la víctima a sitios maliciosos y desactivando las actualizaciones de las aplicaciones de seguridad. «Creemos que este descubrimiento es crítico para la seguridad de los dispositivos Android porque se puede expandir con mucha rapidez», alerta Suguri Ishimaru, analista senior de seguridad de Kaspersky.
Cinco claves para protegerse de Roaming Mantis
Ante la rápida propagación de esta amenaza, es clave proteger la conexión a Internet y seguir estos cinco pasos:
- Verificar que la configuración del DNS no se ha manipulado, lo que se puede saber consultando el manual de usuario del router o contactando con el proveedor de Internet para recibir asistencia.
- Cambiar el nombre de usuario y contraseña que viene por defecto en el router y actualizar con regularidad el firmware desde fuentes oficiales.
- No instalar un firmware de terceros en el router ni utilizar repositorios de terceros en dispositivos Android.
- Verificar la dirección y el sitio web del navegador para estar seguro de que es legítimo y que tiene el candado y estamos en una web segura (https) antes de introducir cualquier dato.
- Instalar una solución de seguridad para teléfonos móviles que ayude a garantizar la seguridad del dispositivo de cualquier amenaza.