Roaming Mantis, la campagna malware che prende di mira le reti Wi-Fi

Scopri come la campagna malware Roaming Mantis infetta smartphone Android e iOS sfruttando reti Wi-Fi compromesse.

Negli ultimi vent’anni, la disponibilità di accesso ad una rete è aumentata notevolmente in tutto il mondo, fino a diventare un componente fondamentale per le nostre attività quotidiane. Oggi ci si connette praticamente ovunque, grazie a dispositivi mobili come smartphone e tablet, alla diffusione delle reti Wi-Fi pubbliche e alla copertura garantita dalle reti mobili.

Tuttavia, questa accessibilità ha anche reso la rete un terreno fertile per condurre attacchi informatici. Sempre più spesso, gli attori malevoli sfruttano le connessioni compromesse per distribuire software dannoso tramite siti web infetti o campagne di phishing, riuscendo a compromettere migliaia di dispositivi in pochissimo tempo.

Origini di Roaming Mantis
L’evoluzione della campagna malware
L’impatto di Roaming Mantis
Prevenzione e difesa

Tra i casi più noti spicca Roaming Mantis, una campagna malware che per diversi anni ha preso di mira gli smartphone, sfruttando reti wireless vulnerabili e perfezionando progressivamente le proprie tecniche di attacco.

In questo articolo analizzeremo Roaming Mantis, in che modo agisce, quali sono stati gli impatti rilevati a livello globale e quali misure adottare per difendersi da questo tipo di minaccia.

Origini di Roaming Mantis

Conosciuta anche come Shaoye, Roaming Mantis è una campagna malware che ha come scopo esfiltrare file e dati sensibili. La peculiarità dell’attacco risiede nella sua capacità di:

Distribuire file APK malevoli per compromettere i dispositivi Android;
Utilizzare pagine di phishing per ingannare gli utenti iOS spingendo loro a fornire dati sensibili a loro insaputa.

La campagna è stata scoperta nel 2018 dal team di sicurezza di Kaspersky, che ha individuato attività sospette in diversi Paesi dell’Asia orientale. In quel periodo, i cybercriminali prendevano di mira router Wi-Fi vulnerabili per eseguire attacchi di DNS hijacking, dirottando il traffico degli utenti verso server fraudolenti. Chiunque si fosse connesso a un router compromesso, sarebbe stato automaticamente reindirizzato a una landing page creata ad hoc. Lo schema di Roaming Mantis si è rivelato particolarmente efficace in Giappone e Corea del Sud.

Dal 2019 fino al 2022, il gruppo responsabile ha abbandonato questa tattica, in favore di campagne di smishing. Gli utenti ricevevano messaggi contenenti link a siti malevoli, che reindirizzavano verso una landing page progettata per rilevare il sistema operativo del dispositivo e personalizzare di conseguenza il tipo di attacco.

L’evoluzione della campagna malware

Il 19 gennaio 2022, i ricercatori di Kaspersky hanno scoperto un’evoluzione di Roaming Mantis. I cybercriminali avevano potenziato Wroba.o, il malware principale utilizzato negli attacchi, dotandolo di un DNS changer in grado di compromettere specifici modelli di router. Una volta installato sul dispositivo della vittima, il malware estrae l’indirizzo IP del default gateway e tenta di identificare il modello attraverso l’interfaccia web dell’amministrazione. Se trova una corrispondenza tra il dispositivo e una lista predefinita di stringhe identificative, inizia a modificare le impostazioni DNS del router.

Si tratta di una tecnica che permette ai cybercriminali di intercettare e manipolare il traffico di rete di tutti i dispositivi connessi, reindirizzandolo verso server controllati dagli attaccanti. All’atto pratico, un utente connesso al router infettato da Wroba.o, finisce reindirizzato verso una versione alterata di un sito leggittimo, scaricare inconsapevolmente un file infetto e perfino venire escluso dagli aggiornamenti di sicurezza del proprio sistema.

Ma la gravità di questa nuova formula di Roaming Mantis è la sua capacità di espandersi lateralmente. Se un dispositivo si infetta a una rete Wi-Fi pubblica vulnerabile, il malware è in grado di compromettere il router e, di conseguenza, infettare tutti gli altri dispositivi connessi a quella stessa rete.

L’impatto di Roaming Mantis

Secondo il team di Kaspersky, Roaming Mantis ha colpito principalmente la Corea del Sud, dove sono stati presi di mira i router ipTIME, ampiamente diffusi nel Paese. Tuttavia, l’attività della campagna si è estesa rapidamente anche ad altri Paesi fuori dall’Asia, tra cui:

Austria;
Francia;
Germania;
Giappone;
India;
Malesia;
Turchia;
Stati Uniti;

Nella maggior parte di queste aree, lo smishing è stato il principale vettore di infezione. Infatti, i cybercriminali hanno registrato numerosi domini con nomi generati in modo casuale, associandoli agli indirizzi IP delle landing page malevole. Questi venivano poi utilizzati per diffondere SMS contenenti link fraudolenti, diretti a siti progettati per ingannare le vittime e infettare i dispositivi Android con file APK pericolosi.

Analizzando le landing page attive, Kaspersky ha individuato numerose landing page utilizzate per la distribuzione dei malware, riuscendo a tracciare i flussi di download. Da queste informazioni è emerso che le principali nazioni vittima di Roaming Mantis sono Giappone, Austria e Francia.

Prevenzione e difesa

Il caso Roaming Mantis dimostra quanto possa essere semplice per i cybercriminali sfruttare reti wireless e dispositivi mobili per lanciare attacchi su larga scala. Per questo motivo, è fondamentale adottare alcune best practices di sicurezza per ridurre il rischio di compromissione durante la navigazione. Di seguito, le principali misure da seguire:

Modificare le credenziali predefinite del router.
Impostare una password robusta per accedere all’interfaccia di amministrazione del router, impedisce agli attaccanti di violare il dispositivo con attacchi brute-force.
Evitare software proveniente da fonti non ufficiali.
Applicazioni e aggiornamenti scaricati al di fuori degli store ufficiali, come Google Play o App Store, possono contenere codice malevolo nascosto.
Verificare l’autenticità dei siti visitati.
Assicurarsi che le pagine web siano legittime e protette da HTTPS, controllando sempre l’URL nella barra del browser.
Prestare attenzione a messaggi o comunicazioni sospette.
SMS o e-mail con toni allarmistici, richieste urgenti o link abbreviati devono sempre essere trattati con sospetto e verificati con cura.
Evitare di collegarsi a reti Wi-Fi pubbliche.
Le reti aperte rappresentano un ambiente favorevole per attacchi di tipo Man-in-the-Middle e distribuzione di malware.
Utilizzare soluzioni di sicurezza affidabili e aggiornate.
Soluzioni antimalware come Sophos permettono di rilevare comportamenti anomali e bloccare le minacce prima che compromettano il dispositivo.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.