Se ha observado a los actores de amenazas asociados con la campaña de ataque Roaming Mantis entregando una variante actualizada de su malware móvil patentado conocido como Wroba para infiltrarse en los enrutadores Wi-Fi y llevar a cabo el Sistema de Nombres de Dominio (DNS) secuestro.
Kaspersky, que llevó a cabo una análisis del artefacto malicioso, dijo que la función está diseñada para apuntar a enrutadores Wi-Fi específicos ubicados en Corea del Sur.
Roaming Mantis, también conocida como Shaoye, es una operación financiera de larga duración que se dirige a los usuarios de teléfonos inteligentes Android con malware capaz de robar credenciales de cuentas bancarias y recopilar otros tipos de información confidencial.
Aunque principalmente apuntando a la región asiática desde 2018, se detectó que el equipo de piratería expandía su rango de víctimas para incluir a Francia y Alemania por primera vez a principios de 2022 al camuflar el malware como la aplicación del navegador web Google Chrome.
Los ataques aprovechan los mensajes de smishing como el vector de intrusión inicial de elección para entregar una URL trampa que ofrece un APK malicioso o redirige a la víctima a páginas de phishing basadas en el sistema operativo instalado en los dispositivos móviles.
Alternativamente, algunos compromisos también han aprovechado los enrutadores Wi-Fi como un medio para llevar a los usuarios desprevenidos a una página de destino falsa mediante el uso de una técnica llamada secuestro de DNSen el que se manipulan las consultas de DNS para redirigir a los objetivos a sitios falsos.
Independientemente del método utilizado, las intrusiones allanan el camino para la implementación de un malware denominado Wroba (también conocido como MoqHao y XLoader) que es capaz de llevar a cabo una gran cantidad de actividades nefastas.
La última actualización de Wroba, según la compañía rusa de ciberseguridad, incluye una función de cambio de DNS que está diseñada para detectar ciertos enrutadores en función de sus números de modelo y envenenar su configuración de DNS.
«La nueva funcionalidad de cambiador de DNS puede administrar todas las comunicaciones de los dispositivos que utilizan el enrutador Wi-Fi comprometido, como redirigir a hosts maliciosos y deshabilitar las actualizaciones de los productos de seguridad», dijo el investigador de Kaspersky Suguru Ishimaru.
La idea subyacente es hacer que los dispositivos conectados al enrutador Wi-Fi violado sean redirigidos a páginas web controladas por el actor de amenazas para una mayor explotación. Dado que algunas de estas páginas entregan el malware Wroba, la cadena de ataque crea efectivamente un flujo constante de «bots» que pueden convertirse en armas para entrar en enrutadores Wi-Fi saludables.
Es notable que el programa de cambio de DNS se use exclusivamente en Corea del Sur. Sin embargo, el malware Wroba en sí mismo ha sido detectado atacando a víctimas en Austria, Francia, Alemania, India, Japón, Malasia, Taiwán, Turquía y EE. UU. a través de smishing.
«Los usuarios con dispositivos Android infectados que se conectan a redes Wi-Fi gratuitas o públicas pueden propagar el malware a otros dispositivos en la red si la red Wi-Fi a la que están conectados es vulnerable», dijo el investigador.