Il meccanismo di funzionamento del malware “Roaming mantis” è abbastanza semplice, ma non per questo la minaccia è meno pericolosa: una volta individuato un route vulnerabile gli hacker lo compromettono dirottando le impostazioni Dns: a quel punto gli utenti verranno indirizzati su Url dall’aspetto autentico ma con contenuti contraffatti provenienti dal server degli attaccanti. E si troveranno di fronte alla richiesta di “scaricare l’ultima versione di Chrome” per “una migliore esperienza di navigazione”. Chi cliccherà su quel link accetterà l’installazione di un trojan che contiene la backdoor per Android degli attaccanti. Così Roaming Mantis verifica se il dispositivo è stato agganciato e richiede il permesso di essere informato sulle eventuali comunicazioni o attività di navigazione dell’utente, e inizierà a raccogliere ogni genere di dati, fino alle credenziali per l’autenticazione a due fattori.
A svelare il funzionamento di questo attacco informatico è Kaspersky lab, che sottolinea come il malware sia particolarmente diffuso in Asia, tra Corea del Sud, Bangladesh e Giappone. Tra le nuove potenzialità del malware ci sono quelle di abilitare i Pc infettati per il Crypto-mining, con la portata che si è estesa fino a interessare un numero crescente di Paesi e supporti 27 lingue, comprendendo così anche italiano, polacco, tedesco, arabo, bulgaro e russo, estendendosi tra l’altro anche a device Apple.
“Quando abbiamo parlato di Roaming Mantis la prima volta, lo scorso aprile, avevamo detto che si trattava di una minaccia molto attiva e in rapida evoluzione – spiega Suguru Ishimaru, security researcher di Kaspersky Lab Giappone – Le nuove prove mostrano ora una drammatica espansione nella geografia degli obiettivi, che include anche l’Europa, il Medio Oriente e altre regioni. Crediamo che gli attaccanti siano dei cybercriminali alla ricerca di guadagno e abbiamo rintracciato diversi indizi che suggeriscono che si possa trattare di attaccanti di lingua cinese o coreana. La motivazione dietro questo tipo di minaccia deve essere di sicuro importante, quindi è probabile che non si attenuerà in poco tempo. L’utilizzo di router infetti e di Dns dirottati sottolinea la necessità di una protezione forte per i dispositivi e di una connessione sicura”.