Les acteurs de la menace associés à la campagne d’attaque Roaming Mantis ont été observés en train de livrer une variante mise à jour de leur malware mobile breveté connu sous le nom de Wroba pour infiltrer les routeurs Wi-Fi et entreprendre le système de noms de domaine (DNS) détournement.
Kaspersky, qui a réalisé une une analyse de l’artefact malveillant, a déclaré que la fonctionnalité est conçue pour cibler des routeurs Wi-Fi spécifiques situés en Corée du Sud.
Roaming Mantis, également connu sous le nom de Shaoye, est une opération de longue date à motivation financière qui cible les utilisateurs de smartphones Android avec des logiciels malveillants capables de voler les identifiants de compte bancaire ainsi que de récolter d’autres types d’informations sensibles.
Bien que principalement ciblant la région asiatique depuis 2018, l’équipe de piratage a été détectée en train d’élargir sa gamme de victimes pour inclure la France et l’Allemagne pour la première fois au début de 2022 en camouflant le logiciel malveillant en tant qu’application de navigateur Web Google Chrome.
Les attaques exploitent les messages de smishing comme vecteur d’intrusion initial de choix pour fournir une URL piégée qui propose un APK malveillant ou redirige la victime vers des pages de phishing basées sur le système d’exploitation installé sur les appareils mobiles.
Alternativement, certains compromis ont également exploité les routeurs Wi-Fi comme moyen d’amener les utilisateurs sans méfiance vers une fausse page de destination en utilisant une technique appelée Piratage DNSdans lequel les requêtes DNS sont manipulées afin de rediriger les cibles vers de faux sites.
Quelle que soit la méthode utilisée, les intrusions ouvrent la voie au déploiement d’un malware appelé Wroba (alias MoqHao et XLoader) qui est capable d’effectuer une multitude d’activités néfastes.
La dernière mise à jour de Wroba, selon la société russe de cybersécurité, implique une fonction de changeur DNS conçue pour détecter certains routeurs en fonction de leurs numéros de modèle et empoisonner leurs paramètres DNS.
« La nouvelle fonctionnalité de changeur DNS peut gérer toutes les communications de l’appareil à l’aide du routeur Wi-Fi compromis, comme la redirection vers des hôtes malveillants et la désactivation des mises à jour des produits de sécurité », a déclaré Suguru Ishimaru, chercheur chez Kaspersky.
L’idée sous-jacente est de faire en sorte que les appareils connectés au routeur Wi-Fi piraté soient redirigés vers des pages Web contrôlées par l’auteur de la menace pour une exploitation ultérieure. Étant donné que certaines de ces pages contiennent le logiciel malveillant Wroba, la chaîne d’attaque crée effectivement un flux constant de « bots » qui peuvent être transformés en armes pour pénétrer dans des routeurs Wi-Fi sains.
Il est à noter que le programme de changeur DNS est exclusivement utilisé en Corée du Sud. Cependant, le malware Wroba en lui-même a été repéré ciblant des victimes en Autriche, en France, en Allemagne, en Inde, au Japon, en Malaisie, à Taïwan, en Turquie et aux États-Unis via le smishing.
« Les utilisateurs d’appareils Android infectés qui se connectent à des réseaux Wi-Fi gratuits ou publics peuvent propager le malware à d’autres appareils du réseau si le réseau Wi-Fi auquel ils sont connectés est vulnérable », a déclaré le chercheur.