Malware: Roaming Mantis cambia i DNS dei router

I ricercatori di sicurezza informativa di Kaspersky hanno comunicato di aver scoperto l’esistenza di una nuova tecnica sfruttata da XLoader, un RAT per Android, diffuso tramite la nota campagna malware Roaming Mantis, che è in grado di accedere al dispositivo della vittima e rubare svariate informazioni.

Malware: Roaming Mantis sfrutta il DNS hijacking su Android

La nuova tecnica adottata dai cybercrminali prevede l’uso del DNS hijacking per la distribuzione del malware. Precedentemente, invece, veniva adoperata la tecnica dello smishing (invio di SMS con link al file APK infetto).

Andando più in dettaglio, viene sfruttato un sito per distribuire il file APK, ma la nuova versione di XLoader include un DNS changer, per cui effettuando l'installazione del file APK il malware legge l’indirizzo IP del gateway e tenta di accedere al router con le credenziali predefinite di amministratore,che nella maggior parte dei casi sono sempre le stesse e soprattutto non vengono modificate dagli utenti.

In seconda battuta, viene modificato l’indirizzo DNS per puntare a pagine che distribuiscono altri malware oppure a pagine di phishing.

Va altresì tenuto conto che tutti i dispositivi Android collegati al router preso di mira vengono reindirizzati in automatico, il che risulta essere altamente efficace in caso di collegamento a un hotspot pubblico.

Per evitare di incappare in questa e in altre minacce informatiche è sempre bene proteggere i propri dispositivi con un buon software antivirus, come nel caso di Norton 360 Premium che viene spesso proposto a prezzo scontato ed è anche compatibile anche con i terminali Android.