{"id":15738,"date":"2018-05-18T13:21:20","date_gmt":"2018-05-18T11:21:20","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=15738"},"modified":"2019-11-22T11:04:31","modified_gmt":"2019-11-22T09:04:31","slug":"roaming-mantis-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/roaming-mantis-malware\/15738\/","title":{"rendered":"Roaming Mantis infetta gli smartphone attraverso i router Wi-Fi"},"content":{"rendered":"

Qualche tempo fa<\/a>, i nostri esperti hanno effettuato ricerche su un malware poi soprannominato Roaming Mantis. All\u2019inizo, le principali vittime erano utenti di Giappone, Corea, Cina, India e Bangladesh e non abbiamo parlato in generale di questa minaccia perch\u00e9 si concentrava in una regione limitata.<\/p>\n\n

Tuttavia, passato un mese dalla pubblicazione del report, Roaming Mantis ha appreso una ventina di lingue diverse e si sta diffondendo rapidamente in tutto il mondo.<\/p>\n

Il malware utilizza router ormai compromessi per infettare smartphone e tablet Android, reindirizza i dispositivi iOS a siti di phishing e attiva su computer fissi e portatili lo script CoinHive per il mining di criptomonete. Tutto ci\u00f2 \u00e8 possibile grazie al DNS hijacking, \u00a0e per gli utenti colpiti risulta difficile capire che c\u2019\u00e8 qualcosa che non va sui propri dispositivi.<\/p>\n

Cos\u2019\u00e8 il DNS hijacking<\/h3>\n

Quando digitate il nome di un sito nella barra degli indirizzi, il browser in realt\u00e0 non invia una richiesta al sito in questione, perch\u00e9 non pu\u00f2 farlo. Internet funziona mediante indirizzi IP composti da una serie di numeri, mentre i nomi di dominio servono per lo pi\u00f9 agli utenti per ricordarsi pi\u00f9 facilmente il sito che stanno cercando.<\/p>\n

Perci\u00f2 la prima cosa che fa il browser quando viene digitato un URL \u00e8 inviare una richiesta al cosiddetto server DNS (Domani Name System),<\/a> che traduce in linguaggio \u201cumano\u201d l\u2019indirizzo IP del sito corrispondente. Il browser usa l\u2019indirizzo IP per individuare il sito e aprirlo.<\/p>\n

Il DNS hijacking \u00e8 un modo per ingannare il browser e indurlo a pensare di aver effettuato la giusta corrispondenza tra nome di dominio e indirizzo IP, anche se ci\u00f2 non \u00e8 avvenuto. Anche se l\u2019indirizzo IP non \u00e8 quello corretto, l\u2019URL originale digitato dall\u2019utente viene mostrato nella barra degli indirizzi del browser, per questo non desta alcun sospetto.<\/p>\n

Esistono diverse tecniche di DNS hijacking, tuttavia i creatori di Roaming Mantis hanno impiegato forse la pi\u00f9 semplice e la pi\u00f9 efficace, manomettendo le impostazioni di router gi\u00e0 compromessi e obbligandoli a utilizzare i loro server DNS falsi. Quindi, indipendentemente da cosa digiti l\u2019utente nella barra degli indirizzi di un dispositivo connesso a questo router vulnerabile, sar\u00e0 reindirizzato a un sito dannoso.<\/p>\n

Roaming Mantis su Android<\/h3>\n

Dopo essere stato reindirizzato al sito dannoso, viene richiesto l\u2019aggiornamento del browser. E tale operazione porta al download di un\u2019app dannosa chiamata chrome.apk <\/strong>(o, in alternativa, facebook.apk<\/strong>).<\/p>\n

\"\"<\/p>\n

\u00a0<\/p>\n

Durante la procedura di installazione, il malware richiede tutta una serie di autorizzazioni<\/a>, tra cui accedere ai dati degli account, inviare o ricevere SMS, effettuare chiamate vocali, registrare audio, accedere a file, mostrare la propria finestra sopra le altre e cos\u00ec via. Per un\u2019applicazione di fiducia come pu\u00f2 essere Google Chrome, tali autorizzazioni non destano troppi sospetti e, se l\u2019utente ritiene che questo \u201caggiornamento del browser\u201d sia legittimo, sicuramente conceder\u00e0 queste autorizzazioni senza neanche leggere le condizioni.<\/p>\n

Dopo aver installato l\u2019applicazione, il malware utilizza la possibilit\u00e0 di accedere all\u2019elenco degli account per scoprire qual \u00e8 l\u2019account Google utilizzato sul dispositivo. Successivamente, l\u2019utente visualizza un messaggio (compare su altre finestre aperte, ricordiamo che il malware ha il permesso di farlo) in cui viene avvertito che qualcosa non va nell\u2019account e che deve inserire nuovamente le credenziali di accesso per collegarsi. E compare una pagina dove digitare nome e data di nascita.<\/p>\n

\"\"<\/p>\n

Questi dati, insieme alla possibili\u00e0 di ricevere SMS per intercettare il codice usa e getta necessario per l\u2019autenticazione a due fattori, fanno s\u00ec che i creatori di Roaming Mantis possano rubare l\u2019account Google dell\u2019utente.<\/p>\n

Roaming Mantis: tour mondiale, debutto su iOS e mining<\/h3>\n

All\u2019inizio, Roaming Mantis riusciva a mostrare messaggi in quattro lingue, ovvero in inglese, coreano, cinese e giapponese. Nel frattempo i suoi creatori hanno deciso di fare le cose in grande e hanno insegnato al malware una ventina di lingue in pi\u00f9:<\/p>\n