Los ciberdelincuentes secuestran el DNS del router para distribuir el troyano bancario de android.
Los investigadores de seguridad han estado advirtiendo sobre una campaña de malware en curso que secuestra los enrutadores de Internet para distribuir malware bancario Android que roba la información confidencial de los usuarios, las credenciales de inicio de sesión y el código secreto para la autenticación de dos factores. .
Con el fin de engañar a las víctimas para que instalen malware de Android, llamado Roaming Mantis, los hackers han secuestrado la configuración de DNS en enrutadores vulnerables e inseguros.
El ataque de secuestro de DNS permite a los piratas informáticos interceptar el tráfico, insertar anuncios fraudulentos en páginas web y redirigir a los usuarios a páginas de phishing diseñadas para engañarlos para que compartan su información confidencial, como credenciales de inicio de sesión, detalles bancarios y más.
La captura de DNS de los enrutadores con fines maliciosos no es nueva. Anteriormente informamos sobre DNSChanger y Switcher generalizados: el malware funcionaba al cambiar la configuración de DNS de los enrutadores inalámbricos para redirigir el tráfico a sitios web maliciosos controlados por atacantes.
Descubierta por los investigadores de seguridad de Kaspersky Lab, la nueva campaña de malware está dirigida principalmente a usuarios de países asiáticos, incluidos Corea del Sur, China, Bangladesh y Japón, desde febrero de este año.
Una vez modificadas, las configuraciones fraudulentas de DNS configuradas por los hackers redireccionan a las víctimas a versiones falsas de sitios web legítimos que intentan visitar y muestran un mensaje emergente de advertencia que dice: "Para experimentar una mejor navegación, actualice la última versión de Chrome".
Con el fin de engañar a las víctimas para que instalen malware de Android, llamado Roaming Mantis, los hackers han secuestrado la configuración de DNS en enrutadores vulnerables e inseguros.
El ataque de secuestro de DNS permite a los piratas informáticos interceptar el tráfico, insertar anuncios fraudulentos en páginas web y redirigir a los usuarios a páginas de phishing diseñadas para engañarlos para que compartan su información confidencial, como credenciales de inicio de sesión, detalles bancarios y más.
La captura de DNS de los enrutadores con fines maliciosos no es nueva. Anteriormente informamos sobre DNSChanger y Switcher generalizados: el malware funcionaba al cambiar la configuración de DNS de los enrutadores inalámbricos para redirigir el tráfico a sitios web maliciosos controlados por atacantes.
Descubierta por los investigadores de seguridad de Kaspersky Lab, la nueva campaña de malware está dirigida principalmente a usuarios de países asiáticos, incluidos Corea del Sur, China, Bangladesh y Japón, desde febrero de este año.
Una vez modificadas, las configuraciones fraudulentas de DNS configuradas por los hackers redireccionan a las víctimas a versiones falsas de sitios web legítimos que intentan visitar y muestran un mensaje emergente de advertencia que dice: "Para experimentar una mejor navegación, actualice la última versión de Chrome".
A continuación, descargue la aplicación de malware Masked Roaming Mantis como aplicación de navegador Chrome para Android, que tiene permiso para recopilar información de la cuenta del dispositivo, gestionar SMS / MMS y realizar llamadas, grabar audio, controlar el almacenamiento externo, verificar paquetes, trabajar con sistemas de archivos, dibujar superposición de ventanas, etc.
"La redirección condujo a la instalación de aplicaciones troyanizadas llamadas facebook.apk y chrome.apk que contenían Android Trojan-Banker".
Si está instalado, la aplicación maliciosa superpone todas las otras ventanas inmediatamente para mostrar un mensaje de advertencia falso (en inglés incompleto), que dice: "El número de cuenta existe riesgo, uso después de la certificación".
Roaming Mantis luego inicia un servidor web local en el dispositivo y ejecuta el navegador web para abrir una versión falsa del sitio web de Google, solicitando a los usuarios que ingresen sus nombres y fecha de nacimiento.
"La redirección condujo a la instalación de aplicaciones troyanizadas llamadas facebook.apk y chrome.apk que contenían Android Trojan-Banker".
Si está instalado, la aplicación maliciosa superpone todas las otras ventanas inmediatamente para mostrar un mensaje de advertencia falso (en inglés incompleto), que dice: "El número de cuenta existe riesgo, uso después de la certificación".
Roaming Mantis luego inicia un servidor web local en el dispositivo y ejecuta el navegador web para abrir una versión falsa del sitio web de Google, solicitando a los usuarios que ingresen sus nombres y fecha de nacimiento.
Para convencer a los usuarios de que crean que están entregando esta información a Google, la página falsa muestra el ID de correo electrónico Gmail de los usuarios configurado en su dispositivo Android infectado, como se muestra en las capturas de pantalla.
"Después de que el usuario ingrese su nombre y fecha de nacimiento, el navegador se redirige a una página en blanco en http://127.0.0.1:${random_port}/submit", dijeron los investigadores. "Al igual que la página de distribución, el malware admite cuatro configuraciones regionales: coreano, chino tradicional, japonés e inglés".
Dado que la aplicación de malware Mantis Roaming ya ha obtenido permiso para leer y escribir mensajes de texto en el dispositivo, permite a los atacantes robar el código de verificación secreto para la autenticación de dos factores para las cuentas de las víctimas.
Al analizar el código de malware, los investigadores encontraron referencias a las populares aplicaciones de juegos y banca móvil de Corea del Sur, así como a una función que intenta detectar si el dispositivo infectado está rooteado.
"Para los atacantes, esto puede indicar que un dispositivo es propiedad de un usuario avanzado de Android (una señal para dejar de jugar con el dispositivo) o, como alternativa, una oportunidad de aprovechar el acceso raíz para obtener acceso a todo el sistema", dijo el investigadores.
Lo interesante de este malware es que utiliza uno de los principales sitios web chinos de redes sociales (my.tv.sohu.com) como su servidor de comando y control y envía comandos a los dispositivos infectados solo mediante la actualización de los perfiles de usuario controlados por el atacante.
"Después de que el usuario ingrese su nombre y fecha de nacimiento, el navegador se redirige a una página en blanco en http://127.0.0.1:${random_port}/submit", dijeron los investigadores. "Al igual que la página de distribución, el malware admite cuatro configuraciones regionales: coreano, chino tradicional, japonés e inglés".
Dado que la aplicación de malware Mantis Roaming ya ha obtenido permiso para leer y escribir mensajes de texto en el dispositivo, permite a los atacantes robar el código de verificación secreto para la autenticación de dos factores para las cuentas de las víctimas.
Al analizar el código de malware, los investigadores encontraron referencias a las populares aplicaciones de juegos y banca móvil de Corea del Sur, así como a una función que intenta detectar si el dispositivo infectado está rooteado.
"Para los atacantes, esto puede indicar que un dispositivo es propiedad de un usuario avanzado de Android (una señal para dejar de jugar con el dispositivo) o, como alternativa, una oportunidad de aprovechar el acceso raíz para obtener acceso a todo el sistema", dijo el investigadores.
Lo interesante de este malware es que utiliza uno de los principales sitios web chinos de redes sociales (my.tv.sohu.com) como su servidor de comando y control y envía comandos a los dispositivos infectados solo mediante la actualización de los perfiles de usuario controlados por el atacante.
Según los datos de Telemetría de Kaspersky, el malware Roaming Mantis se detectó más de 6.000 veces, aunque los informes provenían de solo 150 usuarios únicos.
Se le recomienda asegurarse de que su enrutador ejecute la última versión del firmware y esté protegido con una contraseña segura.
También debe desactivar la función de administración remota del enrutador y codificar un servidor DNS de confianza en la configuración de red del sistema operativo.
Se le recomienda asegurarse de que su enrutador ejecute la última versión del firmware y esté protegido con una contraseña segura.
También debe desactivar la función de administración remota del enrutador y codificar un servidor DNS de confianza en la configuración de red del sistema operativo.
Fuente: https://thehackernews.com/
