Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Malware per Android diffuso dirottando i router di casa
- MARTEDÌ 17 APRILE 2018


Vari ricercatori di sicurezza hanno pubblicato avvisi per mettere in guardia gli utenti riguardo una campagna, tutt'ora in corso, di dirottamento (hijacking) delle impostazioni DNS di router vulnerabili per reindirizzare gli utenti verso siti web contenenti malware per Android. 

Si tratterebbe di un attacco su piccola scala, dato che i truffatori hanno dirottato soltanto 150 indirizzi IP unici, reindirizzando gli utenti verso siti dannosi non più di 6000 volte tra Febbraio e Aprile 2018. I ricercatori non sono riusciti a ricostruire come abbiano fatto i truffatori a ottenere l'accesso ad alcuni router home e modificare quindi le impostazioni DNS, ma hanno almeno ottenuto un campione del malware Android usato in questi attacchi: si tratta di una variante unica, chiamata Roaming Mantis, pensato appositamente per modificare le impostazioni DNS e dirottare il traffico degli utenti (ma non è affatto il primo, ne ricordiamo altri due casi: DNSChanger e OSX/MaMi per Mac). 

Il malware viene nascosto in cloni di Chrome e Facebook
Per questo attacco gli attaccanti reindirizzano gli utenti verso pagine che vendono app Android clone come Google Chrome (chrome.apk) e Facebook (facebook.apk). Entrambe queste app richiedevano autorizzazioni eccessive che, se concesse dall'utente ingannato, garantivano l'accesso totale degli attaccanti allo smartphone della vittima. Oppure ancora gli utenti vengono reindirizzati su pagine web compromesse dove insistenti avvisi vengono mostrati agli utenti finché l'utente non esegue il download di un falso update.


Una volta scaricato il malware mostra finestre di avviso sopra ogni altra app, mostrando il seguente avviso:

Il malware Roaming Mantis sembra essere un information stealer, cioè un malware pensato appositamente per rubare informazioni: non è risultato infatti programmato per sottrarre fondi, ma per concentrarsi sul furto di credenziali (credenziali di login, dettagli account bancario ecc..), registrazione di audio, controllo di eventuali dispositivi esterni, intercettazione SMS/MMS ecc...

La diffusione
Secondo i ricercatori le app compromesse erano diffuse su siti web in 5 lingue (Coreano, Cinese Tradizionale, Cinese semplificato, Giapponese, Inglese) e avrebbero colpito principalmente vittime in Corea del Sud, Giappone, India ecc... 

La particolarità in questo caso però non è tanto legata alla diffusione geografica di questo malware, ma a quella "tecnica": il malware in questione non è niente di spettacolare (il codice sorgente è piuttosto basilare), ma fuori dall'ordinario è il suo metodo di distribuzione, ovvero il dirottamento delle impostazioni DNS sui router domestici. Qualcosa che non si era mai visto fino ad oggi per diffondere malware per Android. L'uso dei router compromessi per la distribuzione di malware sta lentamente diventando una tendenza: sempre più spesso i router finiscono "vittime" di botnet IoT, reti Proxy e gruppi di cyber spionaggio. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 23 LUGLIO 2019
Hacking della Webcam: come impedire la violazione della tua privacy?
Immagina, un giorno, di aprire la posta in arriva e trovare una email che contiene tue immagini private o intime. Sotto le immagini, lampeggia una richiesta di riscatto "...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login