Les acteurs de la menace associés à la campagne d’attaque Roaming Mantis ont été observés en train de livrer une variante mise à jour de leur malware mobile breveté connu sous le nom de Wroba pour infiltrer les routeurs Wi-Fi et entreprendre le piratage du système de noms de domaine (DNS).
Kaspersky, qui a effectué une analyse de l’artefact malveillant, a déclaré que la fonctionnalité est conçue pour cibler des routeurs Wi-Fi spécifiques situés en Corée du Sud.
Roaming Mantis, également connu sous le nom de Shaoye, est une opération de longue date à motivation financière qui identifie les utilisateurs de smartphones Android avec des logiciels malveillants capables de voler les identifiants de compte bancaire ainsi que de récolter d’autres types d’informations sensibles.
Bien que ciblant principalement la région asiatique depuis 2018, l’équipe de piratage a été détectée en train d’élargir sa gamme de victimes pour inclure la France et l’Allemagne pour la première fois au début de 2022 en camouflant le logiciel malveillant en tant qu’application de navigateur Web Google Chrome.
Les attaques exploitent les messages de smishing comme vecteur d’intrusion initial de choix pour fournir une URL piégée qui propose un APK malveillant ou redirige la victime vers des pages de phishing basées sur le système d’exploitation installé sur les appareils mobiles.
Alternativement, certains compromis ont également exploité les routeurs Wi-Fi comme moyen d’amener les utilisateurs sans méfiance vers une fausse page de destination en utilisant une technique appelée détournement DNS, dans laquelle les requêtes DNS sont manipulées afin de rediriger les cibles vers de faux sites.
Quelle que soit la méthode utilisée, les intrusions ouvrent la voie au déploiement d’un malware appelé Wroba (alias MoqHao et XLoader) qui est équipé pour mener à bien une multitude d’activités néfastes.
La dernière mise à jour de Wroba, selon la société russe de cybersécurité, implique une fonction de changeur DNS conçue pour détecter certains routeurs en fonction de leurs numéros de modèle et empoisonner leurs paramètres DNS.
« La nouvelle fonctionnalité de changeur DNS peut gérer toutes les communications de l’appareil à l’aide du routeur Wi-Fi compromis, comme la redirection vers des hôtes malveillants et la désactivation des mises à jour des produits de sécurité », a déclaré Suguru Ishimaru, chercheur chez Kaspersky.
L’idée sous-jacente est de faire en sorte que les appareils connectés au routeur Wi-Fi piraté soient redirigés vers des pages Web contrôlées par l’auteur de la menace pour une exploitation ultérieure. Étant donné que certaines de ces pages contiennent le logiciel malveillant Wroba, la chaîne d’attaque crée effectivement un flux constant de « bots » qui peuvent être transformés en armes pour pénétrer dans des routeurs Wi-Fi sains.
Il est à noter que le programme de changeur DNS est exclusivement utilisé en Corée du Sud. Cependant, le malware Wroba en lui-même a été repéré ciblant des victimes en Autriche, en France, en Allemagne, en Inde, au Japon, en Malaisie, à Taïwan, en Turquie et aux États-Unis via le smishing.
Wroba est loin d’être le seul malware mobile dans la nature avec des fonctionnalités de piratage DNS. En 2016, Kaspersky a démasqué un autre cheval de Troie Android nommé Switcher qui attaque le routeur sans fil auquel l’appareil infecté est connecté et effectue une attaque par force brute dans le but de falsifier les configurations DNS.
« Les utilisateurs d’appareils Android infectés qui se connectent à des réseaux Wi-Fi gratuits ou publics peuvent propager le malware à d’autres appareils du réseau si le réseau Wi-Fi auquel ils sont connectés est vulnérable », a déclaré le chercheur.