Roaming Mantis: La campaña de malware móvil se enfoca en Francia y Alemania

La campaña de malware móvil conocida como Roaming Mantis quedó en el olvido después de su aparición en 2018, pero Kaspersky informa que ha resurgido con nuevas características y nuevos objetivos: esta vez ha puesto su mirada en Francia y Alemania.

Roaming Mantis es una campaña de smishing (phishing de mensajes de texto) para dispositivos móviles que utiliza varios troyanos de Android (Wroba.g, Wroba.o, Moqhao y XLoader) para tomar el control de los dispositivos Android. Sin embargo, los usuarios de iOS no están exentos: cuando se hace clic en un enlace de sms de Roaming Mantis, puede detectar el tipo de dispositivo y la región, y si encuentra un dispositivo iOS, dirige a la víctima a una página de inicio de sesión falsa de Apple ID en el idioma de su país respectivo.

Cuando Roaming Mantis apareció por primera vez en 2018, Kaspersky dijo que estaba dirigido a usuarios de dispositivos móviles en Japón, Taiwán y Corea. Hasta julio de 2021, Kaspersky informó que el dropper de malware utilizado por Roaming Mantis se había encontrado en Francia, Japón, India, China, Alemania y Corea, en orden descendente.

Esto no es una buena noticia: Roaming Mantis tiene el potencial de tomar el control total de un dispositivo infectado.

Cómo infecta Roaming Mantis un dispositivo

Como se mencionó anteriormente, Roaming Mantis se propaga a través de mensajes de texto de phishing que, según Kaspersky, contienen una breve descripción y un enlace obfuscado. En ambos ejemplos de mensajes de smishing enviados a Francia y Alemania, la descripción se trataba de seguimiento de paquetes; una táctica común que utilizan los ciberdelincuentes para atraer víctimas.

Una vez que se hace clic en el enlace, los usuarios de Android se encuentran con una solicitud para descargar algo, que es el dropper de malware de Roaming Mantis. Una vez instalado, el malware de Roaming Mantis es capaz de realizar diversas acciones en el dispositivo infectado: enviar mensajes de texto, hacer ping al dispositivo, leer el estado del teléfono, reenviar llamadas, bloquear el dispositivo y dos nuevas acciones que Kaspersky detectó como parte de las actualizaciones de 2021: robar fotos individuales o galerías completas.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Kaspersky afirmó que las nuevas características, en particular, indican que los desarrolladores de Roaming Mantis tenían dos objetivos en mente. Primero, robar fotografías de diferentes formas de identificación, como licencias de conducir, tarjetas de seguro de salud y otros documentos importantes que a menudo escaneamos para enviar a los empleadores para pruebas de COVID y similares. Kaspersky dijo que es probable que esta información se utilice para suscribir contratos o servicios de pago a nombre de la víctima. El segundo uso mencionado por Kaspersy es chantajear a los usuarios que pueden tener fotos privadas o comprometedoras en su dispositivo.

Por qué Roaming Mantis es tan peligroso

A medida que Roaming Mantis se ha expandido a diferentes países con diferentes idiomas, ha seguido agregando nuevas verificaciones de región a su sistema, lo que a su vez ha añadido páginas en francés, alemán y otros idiomas utilizados en los países a los que apunta.

Además de su capacidad para adaptarse a su entorno, Roaming Mantis también utiliza varias técnicas de obfuscación en sus páginas de aterrizaje para evitar la detección, así como para dificultar a los investigadores que intentan entender su código. "Además de la obfuscación, la página de aterrizaje bloquea la conexión desde la dirección IP de origen en regiones no objetivo y muestra solo una página falsa de '404' para estas conexiones", dijo Kaspersky.

No solo en Francia y Alemania se ha propagado Roaming Mantis. Kaspersky citó una investigación independiente publicada por el experto en seguridad japonés @ninoseki que muestra que también está activo en Estados Unidos, India, Taiwán y Turquía, aunque no llega ni de cerca a los números totales de infecciones en Francia y Japón, donde ninoseki detectó 66.789 y 22.254 descargas en un día de septiembre de 2021, respectivamente. Independientemente del alto nivel de detecciones en Japón, Kaspersky afirmó que cree que ahora Francia y Alemania son los principales objetivos de Roaming Mantis.

Como todo ataque relacionado con el phishing, Roaming Mantis requiere una acción por parte del usuario. Específicamente, cuando se sigue el enlace de phishing, el usuario debe aceptar la descarga e instalación, y es allí donde aparece la lección de seguridad más importante de esta historia.

Los usuarios de dispositivos Android nunca deberían instalar aplicaciones de fuentes desconocidas. Android tiene controles a nivel de aplicación que pueden evitar que los navegadores web instalen cualquier cosa, aunque la mejor práctica es asegurarse de que no se puedan instalar aplicaciones desde ningún lugar que no sea la tienda de Google Play. Desafortunadamente, los dispositivos Android difieren mucho en cuanto a dónde se encuentra esta configuración. Consulta al fabricante o al operador para conocer los pasos específicos.

Cómo proteger tu computadora de los virus: métodos y consejos

Las empresas que emiten dispositivos Android para empleados deben evitar la instalación de aplicaciones no autorizadas desactivando las instalaciones de aplicaciones desde fuentes desconocidas a nivel de MDM.

Además, asegúrate de que tú y tus usuarios sepan qué es el phishing y cómo detectar los ataques de phishing que provienen de correos electrónicos, redes sociales, mensajes de texto o cualquier otro formato.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Roaming Mantis: La campaña de malware móvil se enfoca en Francia y Alemania , tenemos lo ultimo en tecnología 2023.