Los
investigadores de seguridad han estado advirtiendo sobre una campaña de
malware en curso que secuestra los enrutadores de Internet para
distribuir malware bancario Android que roba la información confidencial
de los usuarios, las credenciales de inicio de sesión y el código
secreto para la autenticación de dos factores. .
Con el fin de engañar a las víctimas para que instalen malware de Android, llamado Roaming Mantis, los hackers han secuestrado la configuración de DNS en enrutadores vulnerables e inseguros.
El ataque de secuestro de DNS permite a los piratas informáticos interceptar el tráfico, insertar anuncios fraudulentos en páginas web y redirigir a los usuarios a páginas de phishing diseñadas para engañarlos para que compartan su información confidencial, como credenciales de inicio de sesión, detalles bancarios y más.
La captura de DNS de los enrutadores con fines maliciosos no es nueva. Anteriormente informamos sobre DNSChanger y Switcher generalizados: el malware funcionaba al cambiar la configuración de DNS de los enrutadores inalámbricos para redirigir el tráfico a sitios web maliciosos controlados por atacantes.
Descubierta por los investigadores de seguridad de Kaspersky Lab, la nueva campaña de malware está dirigida principalmente a usuarios de países asiáticos, incluidos Corea del Sur, China, Bangladesh y Japón, desde febrero de este año.
Una vez modificadas, las configuraciones fraudulentas de DNS configuradas por los hackers redireccionan a las víctimas a versiones falsas de sitios web legítimos que intentan visitar y muestran un mensaje emergente de advertencia que dice: "Para experimentar una mejor navegación, actualice la última versión de Chrome".
Con el fin de engañar a las víctimas para que instalen malware de Android, llamado Roaming Mantis, los hackers han secuestrado la configuración de DNS en enrutadores vulnerables e inseguros.
El ataque de secuestro de DNS permite a los piratas informáticos interceptar el tráfico, insertar anuncios fraudulentos en páginas web y redirigir a los usuarios a páginas de phishing diseñadas para engañarlos para que compartan su información confidencial, como credenciales de inicio de sesión, detalles bancarios y más.
La captura de DNS de los enrutadores con fines maliciosos no es nueva. Anteriormente informamos sobre DNSChanger y Switcher generalizados: el malware funcionaba al cambiar la configuración de DNS de los enrutadores inalámbricos para redirigir el tráfico a sitios web maliciosos controlados por atacantes.
Descubierta por los investigadores de seguridad de Kaspersky Lab, la nueva campaña de malware está dirigida principalmente a usuarios de países asiáticos, incluidos Corea del Sur, China, Bangladesh y Japón, desde febrero de este año.
Una vez modificadas, las configuraciones fraudulentas de DNS configuradas por los hackers redireccionan a las víctimas a versiones falsas de sitios web legítimos que intentan visitar y muestran un mensaje emergente de advertencia que dice: "Para experimentar una mejor navegación, actualice la última versión de Chrome".
A
continuación, descargue la aplicación de malware Masked Roaming Mantis
como aplicación de navegador Chrome para Android, que tiene permiso para
recopilar información de la cuenta del dispositivo, gestionar SMS / MMS
y realizar llamadas, grabar audio, controlar el almacenamiento externo,
verificar paquetes, trabajar con sistemas de archivos, dibujar superposición de ventanas, etc.
"La redirección condujo a la instalación de aplicaciones troyanizadas llamadas facebook.apk y chrome.apk que contenían Android Trojan-Banker".
Si está instalado, la aplicación maliciosa superpone todas las otras ventanas inmediatamente para mostrar un mensaje de advertencia falso (en inglés incompleto), que dice: "El número de cuenta existe riesgo, uso después de la certificación".
Roaming Mantis luego inicia un servidor web local en el dispositivo y ejecuta el navegador web para abrir una versión falsa del sitio web de Google, solicitando a los usuarios que ingresen sus nombres y fecha de nacimiento.
"La redirección condujo a la instalación de aplicaciones troyanizadas llamadas facebook.apk y chrome.apk que contenían Android Trojan-Banker".
Si está instalado, la aplicación maliciosa superpone todas las otras ventanas inmediatamente para mostrar un mensaje de advertencia falso (en inglés incompleto), que dice: "El número de cuenta existe riesgo, uso después de la certificación".
Roaming Mantis luego inicia un servidor web local en el dispositivo y ejecuta el navegador web para abrir una versión falsa del sitio web de Google, solicitando a los usuarios que ingresen sus nombres y fecha de nacimiento.
Para convencer a los usuarios de que crean que están entregando esta
información a Google, la página falsa muestra el ID de correo
electrónico Gmail de los usuarios configurado en su dispositivo Android
infectado, como se muestra en las capturas de pantalla.
"Después de que el usuario ingrese su nombre y fecha de nacimiento, el navegador se redirige a una página en blanco en http://127.0.0.1:${random_port}/submit", dijeron los investigadores. "Al igual que la página de distribución, el malware admite cuatro configuraciones regionales: coreano, chino tradicional, japonés e inglés".
Dado que la aplicación de malware Mantis Roaming ya ha obtenido permiso para leer y escribir mensajes de texto en el dispositivo, permite a los atacantes robar el código de verificación secreto para la autenticación de dos factores para las cuentas de las víctimas.
Al analizar el código de malware, los investigadores encontraron referencias a las populares aplicaciones de juegos y banca móvil de Corea del Sur, así como a una función que intenta detectar si el dispositivo infectado está rooteado.
"Para los atacantes, esto puede indicar que un dispositivo es propiedad de un usuario avanzado de Android (una señal para dejar de jugar con el dispositivo) o, como alternativa, una oportunidad de aprovechar el acceso raíz para obtener acceso a todo el sistema", dijo el investigadores.
Lo interesante de este malware es que utiliza uno de los principales sitios web chinos de redes sociales (my.tv.sohu.com) como su servidor de comando y control y envía comandos a los dispositivos infectados solo mediante la actualización de los perfiles de usuario controlados por el atacante.
"Después de que el usuario ingrese su nombre y fecha de nacimiento, el navegador se redirige a una página en blanco en http://127.0.0.1:${random_port}/submit", dijeron los investigadores. "Al igual que la página de distribución, el malware admite cuatro configuraciones regionales: coreano, chino tradicional, japonés e inglés".
Dado que la aplicación de malware Mantis Roaming ya ha obtenido permiso para leer y escribir mensajes de texto en el dispositivo, permite a los atacantes robar el código de verificación secreto para la autenticación de dos factores para las cuentas de las víctimas.
Al analizar el código de malware, los investigadores encontraron referencias a las populares aplicaciones de juegos y banca móvil de Corea del Sur, así como a una función que intenta detectar si el dispositivo infectado está rooteado.
"Para los atacantes, esto puede indicar que un dispositivo es propiedad de un usuario avanzado de Android (una señal para dejar de jugar con el dispositivo) o, como alternativa, una oportunidad de aprovechar el acceso raíz para obtener acceso a todo el sistema", dijo el investigadores.
Lo interesante de este malware es que utiliza uno de los principales sitios web chinos de redes sociales (my.tv.sohu.com) como su servidor de comando y control y envía comandos a los dispositivos infectados solo mediante la actualización de los perfiles de usuario controlados por el atacante.
Según
los datos de Telemetría de Kaspersky, el malware Roaming Mantis se
detectó más de 6.000 veces, aunque los informes provenían de solo 150
usuarios únicos.
Se le recomienda asegurarse de que su enrutador ejecute la última versión del firmware y esté protegido con una contraseña segura.
También debe desactivar la función de administración remota del enrutador y codificar un servidor DNS de confianza en la configuración de red del sistema operativo.
Se le recomienda asegurarse de que su enrutador ejecute la última versión del firmware y esté protegido con una contraseña segura.
También debe desactivar la función de administración remota del enrutador y codificar un servidor DNS de confianza en la configuración de red del sistema operativo.
Fuente: https://thehackernews.com/
0 Comentarios