Roaming Mantis può cambiare i DNS del router

Roaming Mantis può cambiare i DNS del router

La nuova versione del malware KLoader per Android, usato nella campagna Roaming Mantis, può modificare gli indirizzi DNS dei router WiFi.
Roaming Mantis può cambiare i DNS del router
La nuova versione del malware KLoader per Android, usato nella campagna Roaming Mantis, può modificare gli indirizzi DNS dei router WiFi.

Roaming Mantis è una nota campagna malware che sfrutta siti di phishing per distribuire XLoader per Android, un RAT in grado di accedere al dispositivo e rubare diverse informazioni. Gli esperti di Kaspersky hanno scoperto una nuova tecnica, ovvero la modifica degli indirizzi DNS dei router.

Modifica DNS per distribuire malware

In precedenza, la campagna Roaming Mantis utilizzava la tecnica dello smishing (invio di SMS con link al file APK infetto) per distribuire il malware. Più recentemente, i cybercriminali sfruttano anche il cosiddetto DNS hijacking per raggiungere lo stesso obiettivo.

Viene ancora utilizzato un sito per distribuire il file APK, ma la nuova versione di XLoader include un “DNS changer”. Se l’utente installa il file APK, il malware legge l’indirizzo IP del gateway, ovvero quello del router WiFi al quale è connesso il dispositivo Android. XLoader tenta quindi di accedere al router, usando le credenziali predefinite di amministratore (admin/admin) che molti utenti non cambiano mai.

Successivamente viene cambiato l’indirizzo DNS per puntare a pagine di phishing o siti che distribuiscono altri malware. Tutti i dispositivi Android connessi al router WiFi verranno reindirizzati automaticamente. La tecnica è molto efficace se migliaia di persone si collegano ad un hotspot pubblico. È sufficiente un singolo smartphone infetto per innescare una reazione a catena.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte: Kaspersky
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
20 gen 2023
Link copiato negli appunti