Si chiama Roaming Mantis, il malware che si sta diffondendo con lo scopo di sottrarre i nostri dati bancari. Il nome era già noto dal mese scorso, quando a essere stati attaccati furono i dispositivi Android. Secondo un gruppo di ricercatori di Kaspersky Lab, il malware è stato migliorato, potendo funzionare anche su dispositivi iOS e computer.
Inizialmente la minaccia si era presentata prevalentemente nel sud-est asiatico, in paesi come Korea del Sud, Cina, Bangladesh e Giappone. Attualmente sono state implementate altre 27 lingue, per rendere il malware operativo anche in Medio Oriente ed Europa.
Come Funziona
Come nella versione precedente, il Roaming Mantis prevede un hijack del DNS, che avviene cambiando le impostazioni del router e reindirizzando il traffico verso siti malevoli.
In questo modo, ogni volta che si accede a qualunque sito, si viene reindirizzati ad altri siti controllati dall’hacker che forniscono:
– Fake app con malware specifico per l’home banking per gli utenti Android.
– Phishing per gli utenti iOS.
– Cryptominer per gli utenti da computer.
Su Android
Dopo che l’utente è stato reindirizzato, viene richiesto l’update del browser tramite app. Se si acconsente, viene installato un apk nominato “chrome.apk”. Di recente è stato individuato anche un altro apk con lo stesso obiettivo nominato “facebook.apk”.
Per passare inosservato alla scansione antivirus, i siti malevoli generano nuovi pacchetti di dati in tempo reale con un unico file apk per il download, impostando un filename composto da otto numeri a caso.
Una volta installato, l’hacker ha la possibilità di eseguire ben 19 comandi backdoor, tra cui “-sendSms”, “setWifi”, “gcont”, “lock”, “onRecordAction”, “call”, “get_apps”, “ping” e altri.
Su iOS
Se la vittima è un utente iOS, il malware reindirizzerà il traffico verso siti di phishing che simulano quelli di Apple. Uno dei siti utilizzati è “security.app.com”, in cui viene richiesto di inserire ID, password, numero di carta, data di scadenza e CVV.
Su computer
Per chi lavora da computer, invece, Roaming Mantis prevede l’installazione di un cryptominer direttamente dal browser, che si esegue in background. Il malware è ottenuto da CoinHive ed è progettato per minare principalmente Monero.
Come proteggersi
Per proteggersi al meglio, si raccomanda di installare la versione più recente del firmware del vostro router e utilizzare una password forte (minimo 8 caratteri, lettere, numeri e simboli). Inoltre è sempre bene, durante la navigazione, controllare che il sito in questione utilizzi il protocollo di sicurezza https e non http, considerato meno sicuro.
Per diminuire le possibilità d’infezione, è raccomandata anche la rimozione di eventuali accessi remoti al router e l’utilizzo di un server DNS sicuro.
Per chi utilizza dispositivi Android, si consiglia SEMPRE di scaricare applicazioni solo da sorgenti sicure. L’impostazione di default sull’installazione delle app può essere verificata in “Impostazioni – Sicurezza – Sorgenti sconosciute”
Per verificare se il vostro router Wi-Fi è già stato compromesso, controllate le impostazioni del vostro DNS e l’indirizzo del suo server. Se non combacia con quello fornito dal vostro provider (chi vi fornisce Internet), cambiatelo con quello corretto. Inoltre cambiate immediatamente tutte le password.
Siamo di fronte a una minaccia diversa dalle solite che possiamo riscontrare ogni giorno. Essendo a carattere puramente economico, è facile pensare che sia strutturato in maniera ottimale e difficilmente si riuscirà ad evitare senza prendere le dovute precauzioni.
Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord e Twitch.
