Especialistas da Kaspersky Lab relataram que centenas de utilizadores foram alvo de malware no último mês como parte de uma nova campanha associada ao Roaming Mantis.
O Roaming Mantis surgiu em março de 2018 quando routers comprometidos no Japão redirecionaram os utilizadores para websites comprometidos.
A investigação da Kaspersky Lab indica que o ataque estava a direcionar utilizadores na Ásia através de websites falsos e personalizados para inglês, coreano, chinês simplificado e japonês. A maioria dos utilizadores afetados são do Bangladesh, Japão e Coréia do Sul.
Os investigadores detetaram malware relacionado ao Roaming Mantis mais de 6.800 vezes em mais de 950 utilizadores únicos no período entre 25 de fevereiro e 20 de março de 2019.
Os atacantes usaram um novo método de phishing com configurações móveis maliciosas, juntamente com uma técnica de manipulação de DNS observada já no passado.
Ao contrário dos ataques anteriores, os atacantes do Roaming Mantis utilizaram uma nova página de destino para os dispositivos iOS na tentativa de induzir as vítimas a instalar uma configuração mal intencionada do iOS.
Utilizadores Android foram infectados com o malware que a Trend Micro acompanhava: XLoader e a McAfee também o seguia mas identificava-o como: MoqHao.
“Our key finding is that the actor continues to seek ways to compromise iOS devices and has even built a new landing page for iOS users. When an iPhone user visits this landing page, she sees pop-up messages guiding her to the malicious iOS mobile config installation” reads the analysis published by Kaspersky.
“After installation of this mobile config, the phishing site automatically opens in a web browser and collected information from the device is sent to the attacker’s server. This information includes DEVICE_PRODUCT, DEVICE_VERSION, UDID, ICCID, IMEI and MEID.”
“On the Android front, our telemetry data shows a new wave of malicious APK files which we detect as “Trojan-Dropper.AndroidOS.Wroba.g”.
No final de fevereiro de 2019, os especialistas detectaram uma query para um DNS changer mal-intencionado que os invasores utilizavam para comprometer as configurações de DNS de routers vulneráveis.
O ataque funciona se as seguintes condições forem atendidas:
- no authentication for the router’s control panel from the localnet;
- the device has an admin session for the router panel;
- and a simple username and password (or default) are used for the router, such as admin:admin.
Os especialistas da Kaspersky descobriram que várias centenas de routers foram comprometidos dessa forma e que todos apontavam para DNS maliciosos.
“We have seen increased distribution of sagawa.apk Type A since late February 2019. This wave is characterized by a new attack method of phishing with malicious mobile config, although the previously observed DNS manipulation is also still actively used.”
Kaspersky concludes “We find the use of malicious mobile config especially alarming as this may cause serious problems for the users,”