Soprannominato Roaming Mantis , il malware è stato inizialmente rilevato con tecniche Hijacking il mese scorso ,nato per distribuire malware banking Android e progettato per rubare le credenziali di accesso degli utenti con codice segreto per l’autenticazione a due fattori.
Secondo i ricercatori di sicurezza di Kaspersky Lab , il gruppo creatore del Roaming Mantis ha ampliato i propri obiettivi aggiungendo attacchi di phishing per dispositivi iOS e script di mining di criptovaluta per gli utenti di PC.
Simile alla versione precedente, il nuovo malware Roaming Mantis viene distribuito tramite DNS-Hijacking , utenti malintenzionati modificano le impostazioni DNS dei router wireless per reindirizzare il traffico verso siti Web malevoli controllati da loro.
Pertanto, ogni volta che gli utenti tentano di accedere a qualsiasi sito Web tramite un router compromesso, vengono reindirizzati a:
- app false infettate dal malware di tipo bancario per gli utenti Android,
- siti di phishing per utenti iOS,
- Siti con script di mining criptovaluta per utenti desktop
“Dopo che l’utente [Android] viene reindirizzato al sito dannoso, viene richiesto di aggiornare il browser [app] .Questo spinge l’utente al download di un’app dannosa denominata chrome.apk (c’era anche un’altra versione, denominata facebook.apk ), ” dicono i ricercatori.
Per eludere il rilevamento, i siti Web fasulli generano nuovi pacchetti in tempo reale con i singoli file apk dannosi per il download e impostano anche il nome file con numeri casuali.
