La compañía de ciberseguridad Kaspersky Lab ha alertado sobre la expansión del ‘malware’ Roaming Mantis, de ciberataques a routers mediante la técnica de secuestro del sistema de nombres de dominio (DNS), que ha comenzado a afectar a usuarios europeos y que ha incorporado minería de criptomoneda.

Roaming Mantis, con origen en Asia, es una campaña de ‘malware’ diseñada principalmente para robar información del usuario, incluidas las credenciales, y para proporcionar a los ciberdelincuentes el control total sobre el dispositivo comprometido, como ha explicado Kaspersky Lab a través de un comunicado.

Tras detectarse el pasado mes de abril, Roaming Mantis ha ampliado su campo de actuación a Europa y Oriente próximo. El ‘malware’ ha añadido también una opción de ‘phishing’ para dispositivos iOS y capacidad de minería de criptomonedas en PC.

Criptomonedas

Los ciberatacantes buscan con este virus ‘routers’ vulnerables para comprometer, y distribuyen el ‘malware’ mediante el secuestro de la configuración DNS de esos routers. Tras la infección, el ‘malware’ conduce a los internautas a URL falsificadasdonde los anima a descargar una nueva versión de Chrome.En realidad, Roaming Mantis instala una aplicación troyana llamada ‘facebook.apk’ o ‘chrome.apk’, que incluye una puerta trasera para Android. El virus solicita permiso para recibir notificaciones y es capaz de recopilar datos como los de la autenticación de dos factores.

Por el momento, se desconoce la forma de comprometer los routers, pero Kaspersky Lab ha identificado como posibles responsables a un grupo cibercriminal de habla coreana o china que busca obtener beneficios económicos, debido que incluye las referencias a banca móvil y a aplicaciones de juegos populares en Corea del Sur.

El ‘malware’, que dispone de soporte para un total de 27 idiomas, ha incorporado nuevas funciones como el desvío a páginas de ‘phishing’ en dispositivos iOS o capacidades de minería de criptomonedas en PC a través de una web maliciosa.

Para proteger la conexión a Internet de esta infección, Kaspersky Lab recomienda consultar el manual de usuario del ‘router’ y avisar al proveedor de Internet en caso de alteraciones. Asimismo, es aconsejable cambiar las claves del administrador del router y actualizar el ‘firmware’ del dispositivo desde la fuente oficial.