Malware de Secuestro DNS, está afectando a Usuarios tanto móviles como de escritorio.



No hace mucho que se detectó este mismo malware realizando múltiples ataques a miles de usuarios Android a nivel mundial. Hoy este malware mutó y a parte de atacar equipos Android, también tiene la capacidad de atacar usuarios de iOS y usuarios de escritorio.

Este malware se llama Romaing Mantis y fue detectado anteriormente secuestrando routers de Internet para así distribuir Banking malware, cosa de poder realizar el robo de credenciales y códigos de doble factor de autenticación de cuentas bancarias.

De acuerdo a los investigadores de Kaspersky labs, este malware estaba orientado a atacar algunas locaciones de Asia como Corea del Sur, Bangladesh y Japón por el idioma de uso, pero la ultima actualización del malware ya soporta mas de  27 idiomas.

Adicionalmente los criminales una opción de Phishing para dispositivos iOS y opciones de criptominado para PC.


Phishing


Anteriormente el malware estaba orientado a realizar ataques solo a dispositivos android, pero actualmente el malware mutó y es capaz de lanzar campañas de phishing en dispositivos iOS. El comportamiento es que cuando el usuario se conecta a Internet, este es redirigido al portal http://security.apple.com, el cual solo es resuelto cuando un equipo esta comprometido, ya que el sitio particularmente no existe. Cuando el equipo esta comprometido, esta url resuelve la IP 172.247[.]116[.]155, mostrando una página falsa en la cual se solicitan las credenciales del usuarios, e información de tarjetas de crédito.



Criptominado

Para los usuarios de escritorio, el malware es capaz de llamar a scritp de criptominado. Como se muestra en la imagen, el malware llama a Coinhive para realizar el minado.


 Este tipo de criptominado es el mas sencillo de todos ya que se puede realizar tan solo llamando al Javascript 


IoCs

Malicious hosts:
  • 43.240.14[.]44
  • 118.168.201[.]70 
  • 118.168.202[.]125 
  • 128.14.50[.]147
  • 172.247.116[.]155
  • 220.136.73[.]107 
  • 220.136.76[.]200
  • 220.136.78[.]40 
  • 220.136.111[.]66
  • 220.136.179[.]5
  • 220.136.182[.]72 
  • shaoye11.hopto[.]org
  • haoxingfu01.ddns[.]net
Malicious apks:
  • 03108e7f426416b0eaca9132f082d568
  • 07eab01094567c6d62a73f7098634eb8 
  • 1cc88a79424091121a83d58b6886ea7a
  • 2a1da7e17edaefc0468dbf25a0f60390
  • 31e61e52d38f19cf3958df2239fba1a7
  • 34efc3ebf51a6511c0d12cce7592db73
  • 4d9a7e425f8c8b02d598ef0a0a776a58
  • 531714703557a58584a102ecc34162ff 
  • 904b4d615c05952bcf58f35acadee5c1
  • 9f94c34aae5c7d50bc0997d043df032b
  • a21322b2416fce17a1877542d16929d5
  • b84b0d5f128a8e0621733a6f3b412e19
  • bd90279ad5c5a813bc34c06093665e55
  • cc1e4d3af5698feb36878df0233ab14a
  • ff163a92f2622f2b8330a5730d3d636c
  • 808b186ddfa5e62ee882d5bdb94cc6e2
  • ee0718c18b2e9f941b5d0327a27fbda1 
classes.dex:
  • 13c8dda30b866e84163f82b95008790a 
  • 19e3daf40460aea22962d98de4bc32d2
  • 1b984d8cb76297efa911a3c49805432e 
  • 36b2609a98aa39c730c2f5b49097d0ad
  • 3ba4882dbf2dd6bd4fc0f54ec1373f4c
  • 46c34be9b3ff01e73153937ef35b0766 
  • 5145c98d809bc014c3af39415be8c9ac 
  • 6116dc0a59e4859a32caddaefda4dbf4 
  • 8a4ed9c4a66d7ccb3d155f85383ea3b3
  • a5d2403b98cddcd80b79a4658df4d147 
  • b43335b043212355619fd827b01be9a0
  • b4152bee9eca9eb247353e0ecab37aa5
  • b7afa4b2dafb57886fc47a1355824199
  • bf5538df0688961ef6fccb5854883a20 
  • f89214bfa4b4ac9000087e4253e7f754
  • 6cac4c9eda750a69e435c801a7ca7b8d
  • e56cccd689a9e354cb539bb069733a43 
  • fe0198f4b3d9dc501c2b7db2750a228b 
Decrypted payload (dex file) from \assets\data.sql:
  • 1bd7815bece1b54b7728b8dd16f1d3a9
  • 28ef823d10a3b78f8840310484e3cc69 
  • 307d2780185ba2b8c5ad4c9256407504
  • 3e01b64fb9fe9605fee7c07e42907a3b 
  • 3e4bff0e8ed962f3c420692a35d2e503
  • 3ed3b8ecce178c2e977a269524f43576 
  • 57abbe642b85fa00b1f76f62acad4d3b
  • 6e1926d548ffac0f6cedfb4a4f49196e
  • 6d5f6065ec4112f1581732206539e72e 
  • 7714321baf6a54b09baa6a777b9742ef
  • 7aa46b4d67c3ab07caa53e8d8df3005c
  • a0f88c77b183da227b9902968862c2b9
  • b964645e76689d7e0d09234fb7854ede