Roaming Mantis è una nota campagna malware che sfrutta siti di phishing per distribuire XLoader per Android, un RAT in grado di accedere al dispositivo e rubare diverse informazioni. Gli esperti di Kaspersky hanno scoperto una nuova tecnica, ovvero la modifica degli indirizzi DNS dei router.
Modifica DNS per distribuire malware
In precedenza, la campagna Roaming Mantis utilizzava la tecnica dello smishing (invio di SMS con link al file APK infetto) per distribuire il malware. Più recentemente, i cybercriminali sfruttano anche il cosiddetto DNS hijacking per raggiungere lo stesso obiettivo.
Viene ancora utilizzato un sito per distribuire il file APK, ma la nuova versione di XLoader include un “DNS changer”. Se l’utente installa il file APK, il malware legge l’indirizzo IP del gateway, ovvero quello del router WiFi al quale è connesso il dispositivo Android. XLoader tenta quindi di accedere al router, usando le credenziali predefinite di amministratore (admin/admin) che molti utenti non cambiano mai.
Successivamente viene cambiato l’indirizzo DNS per puntare a pagine di phishing o siti che distribuiscono altri malware. Tutti i dispositivi Android connessi al router WiFi verranno reindirizzati automaticamente. La tecnica è molto efficace se migliaia di persone si collegano ad un hotspot pubblico. È sufficiente un singolo smartphone infetto per innescare una reazione a catena.