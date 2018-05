(Roma, 18 maggio 2018) – Lo scorso 16 aprile, i ricercatori di Kaspersky Lab hanno segnalato la scoperta di un nuovo malware Android distribuito con una tecnica basata sul DNS hijacking (reindirizzamento DNS) e rivolto principalmente agli smartphone del continente asiatico. Quattro settimane dopo, la minaccia ha continuato ad evolversi in modo molto rapido e ora ha allargato l’area geografica d’azione, includendo tra gli obiettivi anche l’Europa e il Medio Oriente e aggiungendo un’opzione di phishing per i dispositivi iOS e funzionalita’ di crypto-mining. La campagna, soprannominata Roaming Mantis, e’ progettata soprattutto per rubare informazioni agli utenti, comprese le loro credenziali, e per dare agli attaccanti il pieno controllo sul dispositivo compromesso. I ricercatori credono che dietro l’operazione ci sia un gruppo di cybercriminali di lingua coreana o cinese a caccia di guadagni.

Metodo di attacco



Le ricerche di Kaspersky Lab mostrano come gli attaccanti dietro Roaming Mantis siano alla ricerca di router vulnerabili per comprometterli e distribuiscano il malware attraverso un trucco semplice, ma molto efficace, di dirottamento delle impostazioni DNS proprio di quei router infetti. Il metodo di compromissione del router e’ ancora sconosciuto. Una volta che il DNS e’ stato violato con successo, qualsiasi tentativo di accesso da parte dell’utente a qualunque sito web lo portera’ ad un URL dall’aspetto autentico, con contenuti contraffatti provenienti dal server degli attaccanti. Questo processo include una richiesta: ‘Per una miglior esperienza di navigazione, scarica l’ultima versione di Chrome – . Cliccando sul link relativo, si da’ avvio all’installazione di un’applicazione con funzionalita’ Trojan, denominata ‘facebook.apk – o ‘chrome.apk – , che contiene la backdoor per Android degli attaccanti.

Il malware Roaming Mantis verifica se il dispositivo e’ stato agganciato e richiede il permesso di essere informato sulle eventuali comunicazioni o attivita’ di navigazione intraprese dall’utente. E’ anche in grado di raccogliere una grande mole di dati, comprese le credenziali per l’autenticazione a due fattori. L’interesse verso questo tipo di informazioni e il fatto che parte del codice malware includa riferimenti al mobile banking e agli ID delle applicazioni di gioco popolari nella Corea del Sud, suggeriscono come dietro la campagna possa celarsi un possibile fine economico.

Allargamento degli obiettivi: caratteristiche e geografia



La ricerca iniziale di Kaspersky Lab aveva individuato circa 150 obiettivi, per lo piu’ nella Corea del Sud, in Bangladesh e in Giappone, ma aveva anche scoperto migliaia di connessioni quotidiane ai server command & control (C2) degli attaccanti, il che aveva fatto subito pensare ad un attacco su scala ben piu’ ampia. Il malware includeva supporto per quattro lingue, ovvero coreano, cinese semplificato, giapponese e inglese.

Il range dell’attacco ora si e’ esteso, includendo il supporto in 27 lingue in totale e comprendendo cosi’ anche l’italiano, il polacco, il tedesco, l’arabo, il bulgaro e il russo . Gli attaccanti hanno incluso anche un reindirizzamento a pagine tematiche Apple, con funzionalita’ di phishing, nel caso in cui il malware si imbatta in un dispositivo iOS. L’ultima arma introdotta nell’arsenale di questi attaccanti e’ un sito web dannoso con funzionalita’ di crypto mining per PC. Le analisi di Kaspersky Lab mostrano come si sia verificata almeno un’ondata di attacchi piu’ vasti: i ricercatori, infatti, hanno rilevato oltre 100 obiettivi attaccati tra i clienti Kaspersky Lab nel giro di pochi giorni.

‘Quando abbiamo parlato di Roaming Mantis la prima volta, lo scorso aprile, avevamo detto che si trattava di una minaccia molto attiva e in rapida evoluzione. Le nuove prove mostrano ora una drammatica espansione nella geografia degli obiettivi, che include anche l’Europa, il Medio Oriente e altre regioni. Crediamo che gli attaccanti siano dei cybercriminali alla ricerca di guadagno e abbiamo rintracciato diversi indizi che suggeriscono che si possa trattare di attaccanti di lingua cinese o coreana. La motivazione dietro questo tipo di minaccia deve essere di sicuro importante, quindi e’ probabile che non si attenuera’ in poco tempo. L’utilizzo di router infetti e di DNS dirottati sottolinea la necessita’ di una protezione forte per i dispositivi e di una connessione sicura – , ha commentato Suguru Ishimaru, Security Researcher di Kaspersky Lab Giappone.

I prodotti Kaspersky Lab rilevano la minaccia Roaming Mantis segnalando la presenza di ‘Trojan-Banker.AndroidOS.Wroba – .

Per proteggere la propria connessione internet da questa minaccia, Kaspersky Lab consiglia di:

• Fare riferimento al manuale dell’utente del router per verificare che le impostazioni DNS non siano state manomesse o eventualmente contattare il proprio provider dei servizi internet per chiedere supporto.

• Modificare il nome utente e la password predefinite per l’interfaccia web di amministrazione del router e aggiornare regolarmente il suo firmware da fonte ufficiale.

• Non installare mai il firmware del router usando fonti di terze parti. Non usare mai repository di terze parti per i dispositivi Android.

• Controllare sempre il browser e gli indirizzi dei siti web per essere sicuri che si tratti di collegamenti legittimi; verificare la presenza della dicitura ‘https – nell’indirizzo delle pagine che richiedono l’inserimento dei propri dati.

• Prendere in considerazione l’installazione di una soluzione per la mobile security, come Kaspersky Internet Security for Android, per proteggere i propri dispositivi da questa e da altre minacce.

Ulteriori informazioni e dettagli tecnici su Roaming Mantis sono disponibili in questo blogpost su Securelist.

