Hace un tiempo, nuestros expertos investigaron un malware al que apodaron Roaming Mantis. Por aquel entonces, atacaba a la mayoría de los usuarios de Japón, Corea, China, India y Bangladesh, por ello no analizamos el malware en el contexto de otras regiones, ya que parecía una amenaza local.
Sin embargo, el mismo mes en el que se publicó el informe, Roaming Mantis había aprendido 12 idiomas más y se había expandido rápidamente por todo el mundo.
El malware utiliza routers comprometidos para infectar smartphones y tablets Android, redirigir dispositivos iOS a un sitio phishing y ejecutar el script minero CoinHive en ordenadores de sobremesa y portátiles. Esto lo consigue mediante el secuestro del DNS, lo que dificulta que los usuarios detecten que algo va mal.
¿Qué es el secuestro de DNS?
Cuando ingresas el nombre de un sitio en la barra de direcciones del navegador, este no envía una solicitud al sitio, ya que no puede. Internet funciona con direcciones IP, que son conjuntos de números, mientras que los nombres del dominio están destinados a los usuarios, ya que son más fáciles de recordar e introducir.
Así que, lo primero que hace el navegador cuando se introduce una URL es enviar una solicitud y este proceso recibe el nombre de servidor DNS (siglas en inglés de Sistema de Nombres de Dominio), que traduce el nombre “humano” a la dirección IP del sitio correspondiente. Esta es la dirección IP que el navegador utiliza para localizar y abrir el sitio.
El secuestro de DNS es una forma de engañar al navegador para que piense que ha emparejado el nombre de dominio con la dirección IP correcta, cuando resulta todo lo contrario. Aunque la dirección IP sea incorrecta, la URL original introducida por el usuario se muestra en la barra de direcciones del navegador, por lo que nada parece sospechoso.
Existen muchas técnicas de secuestro de DNS, pero los creadores de Roaming Mantis parecen haber elegido la más sencilla y efectiva, secuestran los ajustes de routers comprometidos y los obligan a usar sus propios servidores DNS corruptos. Es decir, en los dispositivos conectados a este router, cualquier URL que se introduzca en la barra de direcciones del navegador, redirigirá al usuario a un sitio malicioso.
Roaming Mantis en Android
Cuando el usuario accede al sitio malicioso, se le solicita actualizar el navegador y se le dirige a la descarga de una aplicación maliciosa conocida como chrome.apk (también hubo otra versión con el nombre de Facebook.apk).
El malware solicita una gran cantidad de permisos durante el proceso de instalación, incluidos los derechos de acceso a información de cuentas, envío o recepción de SMS, procesamiento de llamadas de voz, grabación de audio, acceso a archivos, despliegue de su propia ventana por encima de las demás, etc. Para una aplicación de confianza como Google Chrome, dicha lista no parece sospechosa, si el usuario considera que esta “actualización del navegador” es legítima, lo más seguro es que otorgue estos permisos sin siquiera leer la lista.
Después de instalar la aplicación, el malware utiliza el derecho de acceder a la lista de cuentas para averiguar qué cuenta de Google se utiliza en el dispositivo. Entonces, el usuario recibe un mensaje (aparece en la parte de arriba de todas las ventanas abiertas, ya que el malware también solicita permiso para ello) que afirma que algo va mal con la cuenta y que necesita volver a iniciar sesión. Luego, se abre una página que anima al usuario a introducir su nombre y fecha de nacimiento.
Parece que los creadores de Roaming Mantis utilizan estos datos, junto con los permisos SMS que conceden acceso a códigos de un solo uso necesarios para una autentificación de dos factores, para robar cuentas de Google.
Roaming Mantis: gira mundial, debut en iOS y minería
Al principio, Roaming Mantis mostraba mensajes en 4 idiomas: inglés, coreano, chino y japonés. Pero en algún momento sus creadores decidieron expandirse e implementar otras dos docenas de idiomas nuevos en su malware, entre ellos el español:
- Árabe
- Armenio
- Bengalí
- Búlgaro
- Checo
- Georgiano
- Alemán
- Hebreo
- Hindi
- Indonesio
- Italiano
- Malayo
- Polaco
- Portugués
- Ruso
- Serbocroata
- Español
- Tagalo
- Tailandés
- Turco
- Ucraniano
- Vietnamita
Ya que estaban, los creadores también enseñaron a Roaming Mantis a atacar dispositivos con iOS. Se trata de un escenario totalmente distinto al de Android. Se salta el paso de tener que descargar la aplicación y, en su lugar, el sitio malicioso muestra una página phishing que solicita al usuario que inicie sesión en la App Store de inmediato. Para dar credibilidad, en la barra de direcciones aparece la dirección security.apple.com:
Los ciberdelincuentes no se limitan a robar credenciales de Apple. Justo después de introducir sus datos, el usuario debe añadir el número de su tarjeta bancaria:
La tercera innovación que nuestros expertos han descubierto afecta a los ordenadores y portátiles. En estos dispositivos, Roaming Mantis ejecuta el script del minero CoinHive, que mina criptomonedas que acaban en el bolsillo de los desarrolladores del malware. El procesador del ordenador de la víctima se carga al 100 % de su capacidad, haciendo que el sistema se ralentice y que consuma mucha energía.
Si quieres conocer más sobre Roaming Mantis, consulta el informe original y la publicación en Securelist con información actualizada sobre el malware.
Cómo protegerse de Roaming Mantis
- Usa protección antivirus en todos tus dispositivos, no solo en ordenador y portátiles, sino también en smartphones y tablets.
- Actualiza de forma periódica todo el software instalado en tus dispositivos.
- En los dispositivos Android, desactiva la instalación de aplicaciones de fuentes desconocidas. Para ello, acude a Ajustes > Seguridad > Fuentes desconocidas.
- El firmware del router también debe estar actualizado. No utilices firmware no oficial de sitios sospechosos.
- Cambia siempre la contraseña de administrador por defecto del router.
Qué hay que hacer en caso de infección
Los productos de seguridad de Kaspersky detectan y eliminan Roaming Mantis, así que el primer paso es instalar antivirus en todos tus dispositivos y analizar el sistema. Una vez que hayas eliminado Roaming Mantis de tus ordenadores y dispositivos, tendrás que hacer una limpieza para no volver a infectarte:
- Cambia de inmediato todas las contraseñas de las cuentas comprometidas con el malware. Cancela todas las tarjetas bancarias de las que hayas introducido información en el sitio phishing de Roaming Mantis.
- Cambia la contraseña de administrador del router y actualiza el firmware. Asegúrate de que la descargas del sitio web oficial del proveedor del router.
- Navega por los ajustes del router y comprueba la dirección del servidor DNS. Si no coincide con el de tu proveedor (la puedes encontrar en su página web o puedes consultar al servicio técnico), cámbiala a la original.