Un malware che infetta gli smartphone attraverso i router Wi-Fi, soprannominato "Roaming Mantis", si sta rapidamente diffondendo in tutto il mondo dopo essere emerso per la prima volta solo un paio di mesi fa.
Attraverso il dirottamento del DNS, il malware utilizza router compromessi per infettare smartphone e tablet Android, reindirizzare i dispositivi iOS a un sito di phishing ed eseguire CoinHive, uno script di cryptomining, su desktop e computer.
Avendo finora interessato principalmente utenti in Giappone, Corea, Cina, India e Bangladesh, Roaming Mantis ne ha aggiunte due dozzine più lingue – tra cui l'arabo, il russo e una miriade di lingue europee – e si sta rapidamente diffondendo in tutto il mondo, secondo Kaspersky Lab, una società di sicurezza informatica.
Roaming Mantis ha scelto la forma più semplice ed efficace di dirottamento DNS, secondo Kaspersky, che prevede il dirottamento delle impostazioni dei server compromessi router e costringendoli a utilizzare i propri server DNS non autorizzati, il che significa che un utente verrà reindirizzato a un sito dannoso se utilizza un dispositivo connesso al compromesso router.
Sebbene il malware colpisse solo i dispositivi Android quando è emerso per la prima volta, i suoi creatori gli hanno ora insegnato ad attaccare i dispositivi iOS.
Agli utenti Android viene richiesto di aggiornare il browser, prima di scaricare un'app dannosa camuffata da Chrome, oppure Facebook, che richiede una serie di autorizzazioni e le utilizza per violare l'autenticazione a due fattori e dirottare Google conti. Gli utenti di iOS, nel frattempo, vengono reindirizzati a un mockup del sito Web di Apple, denominato security.apple.com, e viene richiesto di inserire i propri dati di accesso, nonché il numero della carta di credito.
L'ultima "innovazione" scoperta dai ricercatori è stata Roaming Mantis che esegue uno script di mining CoinHive su desktop e laptop: caricando i processi al massimo e consumando enormi quantità di energia per estrarre la criptovaluta per i suoi creatori.
Roaming Mantis è stato rilevato per la prima volta a marzo, ha affermato Kaspersky, nei rapporti giapponesi di impostazioni DNS compromesse sui router che reindirizzano gli utenti a indirizzi IP dannosi, portando la società di sicurezza informatica a pubblicare la ricerca iniziale sul malware il mese scorso.
“Durante la nostra ricerca abbiamo ricevuto alcune preziose informazioni sulla reale portata di questo attacco. C'erano migliaia di connessioni giornaliere all'infrastruttura di comando e controllo (C2), con le impostazioni locali del dispositivo per la maggior parte delle vittime impostate sul coreano", ha scritto il giovane ricercatore Suguru Ishimaru.
“Poiché non abbiamo trovato un nome preesistente per questa operazione di malware, abbiamo deciso di assegnarne uno nuovo per riferimenti futuri. Sulla base della sua propagazione tramite smartphone in roaming tra reti Wi-Fi, potenzialmente portatori e diffondenti dell'infezione, abbiamo deciso di chiamarlo "Roaming Mantis".
Kaspersky ha concluso all'epoca che Roaming Mantis era progettato per essere diffuso principalmente nei paesi asiatici, con il 98% di dispositivi interessati configurati in coreano, con il supporto linguistico successivamente aggiunto per cinese tradizionale, inglese e Giapponese.
Ma l'espansione di Roaming Mantis mostra che i suoi creatori sono desiderosi di sfruttare l'efficacia del malware aggiungendo il supporto per altre 24 lingue e diffondendo la sua portata a livello globale.
La minaccia del malware sembra sempre presente e in costante crescita, con i ricercatori di Symantec questo mese che hanno scoperto una serie di app dannose tornare di soppiatto al Google Play Store semplicemente cambiando i loro nomi dopo essere stato rimosso in passato.
Nel frattempo, ulteriori ricerche di Symantec all'inizio di quest'anno hanno mostrato casi di crypto jacking, di cui la manifestazione di Roaming Mantis su computer desktop e laptop è un tipico esempio, è aumentato dell'8.500% su base annua nell'ultimo trimestre del 2017.
Kaspersky ha incluso diversi passaggi per assistere gli utenti infettati da Roaming Mantis, inclusa l'installazione di software antivirus su tutti dispositivi infetti, seguita da una pulizia profonda dopo la sua rimozione che comporta la modifica delle password e la cancellazione delle carte bancarie, la modifica del router password dell'amministratore e l'aggiornamento del firmware, oltre a verificare che l'indirizzo del server DNS del proprio router corrisponda a quello emesso dal ISP.
Immagine: Shutterstock
