Ir al contenido
Nuevo informe: Consiga su copia del Informe sobre el estado de Internet 2024. | Descargar hoy
Blogs

Seguimiento de la itineranciaMantis - La amenaza de la banca móvil

Compartir

1 de abril de 2020

Publicado originalmente el 1 de abril de 2020

¡Vamos a cazar amenazas en Censys! En este caso, estamos a la caza de RoamingMantis, una amenaza de banca móvil que afecta a los usuarios mediante la alteración de la configuración local de DNS para un mayor abuso del endpoint. El malware DNS Changer no es nuevo, pero RoamingMantis es un nuevo vehículo de distribución.

A través de un tweet de un investigador japonés @ninoseki, empecé mirando el C2 y buscando señales de algo único allí. No hay mucho que hacer allí, bastante espartano y todo. La búsqueda de algunos detalles únicos en Censys no arroja nada.

Cuando miramos esa IP en Censys, sin embargo, vemos algo único en la página. A simple vista parece el sitio de USPS - US Postal Service -, pero entonces nos encontramos con este fragmento de JavaScript.

Bingo: toma las huellas dactilares del dispositivo a través de la cadena de agente de usuario y busca un dispositivo móvil. Si lo encuentra, intenta cargar un APK.

Cuando buscamos esa cadena - la que carga el archivo "post.apk" - encontramos unos cuantos hosts, incluyendo nuestro host original 216.198.66.107. Usando un sitio de terceros para el historial de DNs pasivos también podemos ver qué URLs y nombres de dominio se han resuelto a esas direcciones IP.

El sitio OTX de AlienVault -una plataforma de inteligencia de amenazas impulsada por la comunidad- tiene algunos detalles muy útiles sobre esas IPs, incluyendo nombres y URLs:

Y así podemos aumentar los informes de inteligencia sobre amenazas haciendo algo de reconocimiento e investigación por nuestra parte, y luego utilizando motores de búsqueda como Censys y otros para complementar nuestros conocimientos y crear nuestra propia inteligencia sobre amenazas.

Referencias adicionales:

  1. Roaming Mantis, parte V, SecureList 27 feb 2020
  2. Mantis errante de Nueva Jersey Cyber
  3. Cientos de objetivos en la reciente campaña Roaming Mantis de SecurityWeek
  4. Roaming Mantis Swarms Globally, Spawning iOS Phishing, Cryptomining from ThreatPost
  5. Conozca a la Roaming Mantis, la amenaza de malware para smartphones más extendida del mundo from BW World Online
  6. El malware para Android "Roaming Mantis" evoluciona y amplía sus objetivos from Dark Reading
  7. La campaña de redireccionamiento malicioso Roaming Mantis se aprovecha de los usuarios de Android, iOS y PC de SC Magazine

Volver al Centro de Recursos
Soluciones de gestión de la superficie de ataque
Más información