Se descubrió una nueva aplicación de Android que engaña a los usuarios desprevenidos (incluso a aquellos con dispositivos limpios) para que visiten versiones maliciosas de sitios web populares, donde podrían terminar regalando sus credenciales de inicio de sesión, o peor aún, dinero.
Los hallazgos son cortesía de Kaspersky, que descubrió que se estaba distribuyendo una aplicación maliciosa de Android que contenía el malware Wroba.o/Agent.eq (también conocido como Moqhao, XLoader).
Cuando se descarga la aplicación, intentará conectarse al enrutador Wi-Fi al que está conectado el dispositivo móvil. Para ello, probará las combinaciones de nombre de usuario/contraseña más habituales, así como las conocidas que vienen con la configuración de fábrica (como admin/admin). Si tiene éxito, cambiará el servidor DNS a uno malicioso sobre el que el actor de amenazas tiene control.
Mantis itinerante
Eso permite a los operadores del malware redirigir a todos los usuarios conectados a esa red Wi-Fi específica, incluidos aquellos sin el malware, a versiones maliciosas de sitios web populares.
Por ejemplo, si un punto final comprometido se conecta a un Wi-Fi público en un café concurrido y termina cambiando la configuración del servidor DNS en el enrutador, todos los demás en ese café que intenten conectarse a Facebook serán redirigidos a un Facebook falso. página. Allí, se les pedirá que proporcionen su información de inicio de sesión y, si lo hacen, terminarán regalando sus credenciales de inicio de sesión a los delincuentes.
Los investigadores no nombraron las aplicaciones que se distribuyeron, pero dijeron que los APK se descargaron al menos 46,000 veces en Japón, Austria, Francia, Alemania, Corea del Sur, Turquía, Malasia e India. Con más de 24.000 descargas, Japón es, con diferencia, el país más afectado.
El grupo detrás de las aplicaciones supuestamente es Roaming Mantis. Para protegerse contra este tipo de ataque, el mejor curso de acción sería evitar conectarse a cuentas importantes en redes Wi-Fi públicas.
Vía: Ars Technica (se abre en una pestaña nueva)