Η καμπάνια διανομής κακόβουλου λογισμικού Roaming Mantis ενημέρωσε το κακόβουλο λογισμικό Android για να συμπεριλάβει έναν εναλλάκτη DNS που τροποποιεί τις ρυθμίσεις DNS σε ευάλωτους δρομολογητές WiFi για να μεταδώσει τη μόλυνση σε άλλες συσκευές.

Ξεκινώντας τον Σεπτέμβριο του 2022, οι ερευνητές παρατήρησαν την καμπάνια κλοπής διαπιστευτηρίων και διανομής κακόβουλου λογισμικού «Roaming Mantis» χρησιμοποιώντας μια νέα έκδοση του κακόβουλου λογισμικού Android Wroba.o/XLoader που εντοπίζει ευάλωτους δρομολογητές WiFi με βάση το μοντέλο τους και αλλάζει το DNS τους.

Στη συνέχεια, το κακόβουλο λογισμικό δημιουργεί ένα αίτημα HTTP για να παραβιάσει τις ρυθμίσεις DNS ενός ευάλωτου δρομολογητή WiFi, με αποτέλεσμα οι συνδεδεμένες συσκευές να αναδρομολογηθούν σε κακόβουλες ιστοσελίδες που φιλοξενούν φόρμες ηλεκτρονικού ψαρέματος ή να απορρίψουν κακόβουλο λογισμικό Android.

Η ενημερωμένη παραλλαγή κακόβουλου λογισμικού Android Wroba.o/XLoader ανακαλύφθηκε από Ερευνητές της Kaspersky, οι οποίοι παρακολουθούν τη δραστηριότητα του Roaming Mantis εδώ και χρόνια. Η Kaspersky εξηγεί ότι το Roaming Mantis χρησιμοποιεί πειρατεία DNS τουλάχιστον από το 2018, αλλά το νέο στοιχείο στην τελευταία καμπάνια είναι ότι το κακόβουλο λογισμικό στοχεύει συγκεκριμένους δρομολογητές.

Η πιο πρόσφατη καμπάνια που χρησιμοποιεί αυτό το ενημερωμένο κακόβουλο λογισμικό στοχεύει συγκεκριμένα μοντέλα δρομολογητών WiFi που χρησιμοποιούνται κυρίως στη Νότια Κορέα. Ωστόσο, οι χάκερ μπορούν να το αλλάξουν ανά πάσα στιγμή για να συμπεριλάβουν δρομολογητές που χρησιμοποιούνται συνήθως σε άλλες χώρες.

Αυτή η προσέγγιση επιτρέπει στους παράγοντες της απειλής να εκτελούν πιο στοχευμένες επιθέσεις και να παραβιάζουν μόνο συγκεκριμένους χρήστες και περιοχές, ενώ αποφεύγουν τον εντοπισμό σε όλες τις άλλες περιπτώσεις.

Προηγούμενες καμπάνιες Roaming Mantis στόχευαν χρήστες στην Ιαπωνία, την Αυστρία, τη Γαλλία, τη Γερμανία, την Τουρκία, τη Μαλαισία και την Ινδία.