{"id":12982,"date":"2018-05-18T12:17:32","date_gmt":"2018-05-18T18:17:32","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=12982"},"modified":"2018-05-22T12:17:42","modified_gmt":"2018-05-22T18:17:42","slug":"roaming-mantis-malware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/roaming-mantis-malware\/12982\/","title":{"rendered":"Roaming Mantis infecta smartphones mediante routers hackeados"},"content":{"rendered":"

Hace un tiempo, nuestros expertos investigaron un malware<\/i> al que apodaron Roaming Mantis<\/a>. Por aquel entonces, atacaba a la mayor\u00eda de los usuarios de Jap\u00f3n, Corea, China, India y Bangladesh, por ello no analizamos el malware<\/i> en el contexto de otras regiones, ya que parec\u00eda una amenaza local.<\/p>\n

Sin embargo, el mismo mes en el que se public\u00f3 el informe, Roaming Mantis hab\u00eda aprendido 12 idiomas m\u00e1s y se hab\u00eda expandido r\u00e1pidamente por todo el mundo.<\/p>\n

\"\"<\/p>\n

El malware<\/i> utiliza routers<\/i> comprometidos para infectar smartphones<\/i> y tablets<\/i> Android, redirigir dispositivos iOS a un sitio phishing<\/i> y ejecutar el script<\/i> minero CoinHive en ordenadores de sobremesa y port\u00e1tiles. Esto lo consigue mediante el secuestro del DNS, lo que dificulta que los usuarios detecten que algo va mal.<\/p>\n

\u00bfQu\u00e9 es el secuestro de DNS?<\/h3>\n

Cuando ingresas el nombre de un sitio en la barra de direcciones del navegador, este no env\u00eda una solicitud al sitio, ya que no puede. Internet funciona con direcciones IP, que son conjuntos de n\u00fameros, mientras que los nombres del dominio est\u00e1n destinados a los usuarios, ya que son m\u00e1s f\u00e1ciles de recordar e introducir.<\/p>\n

As\u00ed que, lo primero que hace el navegador cuando se introduce una URL es enviar una solicitud y este proceso recibe el nombre de servidor DNS<\/a> (siglas en ingl\u00e9s de Sistema de Nombres de Dominio), que traduce el nombre \u201chumano\u201d a la direcci\u00f3n IP del sitio correspondiente. Esta es la direcci\u00f3n IP que el navegador utiliza para localizar y abrir el sitio.<\/p>\n

El secuestro de DNS es una forma de enga\u00f1ar al navegador para que piense que ha emparejado el nombre de dominio con la direcci\u00f3n IP correcta, cuando resulta todo lo contrario. Aunque la direcci\u00f3n IP sea incorrecta, la URL original introducida por el usuario se muestra en la barra de direcciones del navegador, por lo que nada parece sospechoso.<\/p>\n

Existen muchas t\u00e9cnicas de secuestro de DNS, pero los creadores de Roaming Mantis parecen haber elegido la m\u00e1s sencilla y efectiva, secuestran los ajustes de routers<\/i> comprometidos y los obligan a usar sus propios servidores DNS corruptos. Es decir, en los dispositivos conectados a este router<\/i>, cualquier URL que se introduzca en la barra de direcciones del navegador, redirigir\u00e1 al usuario a un sitio malicioso.<\/p>\n

Roaming Mantis en Android<\/h3>\n

Cuando el usuario accede al sitio malicioso, se le solicita actualizar el navegador y se le dirige a la descarga de una aplicaci\u00f3n maliciosa conocida como chrome.apk<\/b> (tambi\u00e9n hubo otra versi\u00f3n con el nombre de Facebook.apk<\/b>).<\/p>\n

\"\"<\/p>\n

El malware<\/i> solicita una gran cantidad de permisos<\/a> durante el proceso de instalaci\u00f3n, incluidos los derechos de acceso a informaci\u00f3n de cuentas, env\u00edo o recepci\u00f3n de SMS, procesamiento de llamadas de voz, grabaci\u00f3n de audio, acceso a archivos, despliegue de su propia ventana por encima de las dem\u00e1s, etc. Para una aplicaci\u00f3n de confianza como Google Chrome, dicha lista no parece sospechosa, si el usuario considera que esta \u201cactualizaci\u00f3n del navegador\u201d es leg\u00edtima, lo m\u00e1s seguro es que otorgue estos permisos sin siquiera leer la lista.<\/p>\n

Despu\u00e9s de instalar la aplicaci\u00f3n, el malware<\/i> utiliza el derecho de acceder a la lista de cuentas para averiguar qu\u00e9 cuenta de Google se utiliza en el dispositivo. Entonces, el usuario recibe un mensaje (aparece en la parte de arriba de todas las ventanas abiertas, ya que el malware<\/i> tambi\u00e9n solicita permiso para ello) que afirma que algo va mal con la cuenta y que necesita volver a iniciar sesi\u00f3n. Luego, se abre una p\u00e1gina que anima al usuario a introducir su nombre y fecha de nacimiento.<\/p>\n

\"\"<\/p>\n

Parece que los creadores de Roaming Mantis utilizan estos datos, junto con los permisos SMS que conceden acceso a c\u00f3digos de un solo uso necesarios para una autentificaci\u00f3n de dos factores, para robar cuentas de Google.<\/p>\n

Roaming Mantis: gira mundial, debut en iOS y miner\u00eda<\/h3>\n

Al principio, Roaming Mantis mostraba mensajes en 4 idiomas: ingl\u00e9s, coreano, chino y japon\u00e9s. Pero en alg\u00fan momento sus creadores decidieron expandirse e implementar otras dos docenas de idiomas nuevos en su malware<\/i>:<\/p>\n