Kaspersky denuncia a Wroba.o ante Google por secuestro de DNS
Kaspersky ha descubierto una nueva aplicación maliciosa conocida como Wroba.o que utiliza el secuestro de DNS para robar información personal y financiera de las víctimas. La aplicación, descubierta en Google Play Store, se hace pasar por una aplicación legítima y está diseñada para redirigir el tráfico a sitios web de phishing u otros dominios maliciosos.
La aplicación habría sido creada por un grupo llamado Roaming Mantis. Al parecer, el secuestro de DNS se diseñó para que solo funcionara cuando los dispositivos visitaran la versión móvil de un sitio web falso, probablemente para garantizar que la campaña pasara desapercibida.
El secuestro de DNS (Domain Name System) es una técnica utilizada por la aplicación maliciosa. Tras la instalación, la aplicación se conecta al router e intenta iniciar sesión en su cuenta administrativa utilizando credenciales predeterminadas o de uso común, como admin:admin. Cuando la aplicación tiene éxito, cambia el servidor DNS a uno controlado por los atacantes. Los dispositivos de la red pueden entonces ser dirigidos a sitios impostores que parecen legítimos pero que propagan malware o registran credenciales de usuario u otros datos sensibles.
El secuestro de DNS es una técnica en la que un atacante modifica la configuración del Sistema de Nombres de Dominio (DNS) de un sitio web, redirigiendo el tráfico destinado a un sitio web legítimo a otro malicioso. Los hackers están comprometiendo los servidores DNS en esta campaña y redirigiendo a las víctimas a páginas de inicio de sesión falsas u otros sitios de phishing diseñados para robar información personal y financiera.
Según los investigadores, los hackers han tenido especial éxito en sus ataques a pequeñas y medianas empresas, así como a particulares. Para evitar ser detectados, emplean una serie de estrategias, como el uso de múltiples dominios y direcciones IP, así como tráfico cifrado para ocultar sus actividades.
Según los investigadores, la aplicación maliciosa fue descargada por un gran número de usuarios antes de ser descubierta y eliminada de Google Play Store. Kaspersky también ha informado del incidente al equipo de seguridad de Google y a las autoridades competentes para que tomen las medidas oportunas e impidan la distribución de la app.
Los investigadores dicen: "Los usuarios conectan dispositivos Android infectados a Wi-Fi gratuitas/públicas en lugares como cafeterías, bares, bibliotecas, hoteles, centros comerciales y aeropuertos. Cuando se conecta a un modelo de Wi-Fi con una configuración vulnerable, el malware para Android compromete el router y afecta también a otros dispositivos. Como resultado, es capaz de propagarse ampliamente en las regiones objetivo".
Las fuentes de este artículo incluyen un artículo en ArsTechnica.