I ricercatori di Kaspersky anu infurmatu una nova funzione di commutazione DNS utilizata in l'operazione Roaming Mantis. Roaming Mantis (cunnisciutu ancu Shaoye) hè u nome di una campagna o operazione di cibercriminalità osservata per a prima volta da Kaspersky in 2018. Utilizà i fugliali di pacchetti Android (APK) maliziusi per gestisce i dispositi Android infettati è arrubbanu infurmazioni cunfidenziale da u dispusitivu. Hè cunnisciutu ancu di avè una opzione di phishing per i dispositi iOS è e funzioni di mining criptograficu per i PC. U nome di sta campagna hè duvuta à a so diffusione per i telefoni intelligenti in roaming di rete Wi-Fi, potenzalmentu purtendu è sparghje l'infezzione.
"Router publichi è nova funziunalità di cambiatore DNS"
Kaspersky hà scupertu recentemente chì Roaming Mantis offre una nova funziunalità di cambiatore DNS via u malware di campagna Wroba.o (aka Agent.eq, Moqhao, XLoader). Pudemu chjamà DNS changer un prugramma maliziusu chì redirige u vostru dispositivu cunnessu à un router Wi-Fi cumprumissu à un altru servitore cuntrullatu da cibercriminali invece di un servitore DNS legittimu. In questu scenariu, a vittima potenziale hè dumandata à scaricà malware chì pò cuntrullà u dispusitivu o arrubbanu credenziali, da a pagina di destinazione chì venenu.
Attualmente, l'attaccanti daretu à Roaming Mantis sò destinati solu à i routers situati in Corea di u Sudu è fabbricati da un venditore assai populari di l'equipaggiu di rete sudcoreanu. In dicembre 2022, Kaspersky hà osservatu 508 scaricamenti APK maliziusi in u paese.
Un studiu di e pagine maliziusi hà revelatu chì l'attaccanti anu ancu destinatu à altre regioni chì utilizanu smishing invece di cambiatori DNS. Sta tecnica usa missaghji di testu per sparghje ligami chì dirigenu a vittima à un situ di phishing per scaricà malware in u dispusitivu o arrubbanu l'infurmazioni d'utilizatori.
Sicondu statistiche Kaspersky Security Network (KSN) per settembre - dicembre 2022, u più altu tassu di rilevazione di malware Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) in Francia (54,4%), Giappone (12,1%) è USA ( 10,1%).
"Quandu un smartphone infettatu si cunnetta à i routers" sani "in diversi lochi publichi, cum'è caffè, bar, biblioteche, alberghi, centri commerciali, aeroporti è ancu case, u malware Wroba.o hè trasmessu à stu router", disse Suguru Ishimaru. Senior Security Researcher in Kaspersky.dispositivi è pò influenzà i dispositi cunnessi à questu. A nova funziunalità di cambiadori DNS pò gestisce quasi ogni selezzione di u dispositivu utilizendu u router Wi-Fi cumprumissu, cum'è l'inviu à l'ospiti maliziusi è a disattivazione di l'aghjurnamenti di sicurezza. "Credemu chì sta scuperta hè critica per a cibersigurtà di i dispositi Android perchè hà u putenziale di sparghje largamente in e regioni mirate".
Per prutege a vostra cunnessione Internet da questa infezione, i ricercatori di Kaspersky recomandanu:
- Verificate u manuale di u vostru router per verificà chì i vostri paràmetri DNS ùn sò micca stati manipulati, o cuntattate u vostru fornitore di serviziu Internet per supportu.
- Cambia u nome d'utilizatore è a password predeterminati utilizati per l'interfaccia web di u vostru router è aghjurnà u firmware regularmente da a fonte ufficiale.
- Ùn installate mai u software di router da fonti di terzu. Evite aduprà magazzini di terzu partitu ancu per i vostri dispositi Android.
- Inoltre, verificate sempre l'indirizzi di u navigatore è di u situ web per assicurà chì sò sicuri; Ricurdatevi di cunfirmà https:// cunnessione sicura quandu avete dumandatu à inserisce dati.
Esse u primu à cummentà