ルータのDNS設定を乗っ取り、DNS設定を変更して不正なDNSサーバに書き換えてAndroid向け不正アプリをダウンロードさせる攻撃が確認されている件で、この攻撃は韓国をターゲットにしていることがカスペルスキーの調査で明らかになった。
同社が解析した結果、アプリのインストールの際に端末情報やIDの読み取りなどの権限を要求し、その際にWebブラウザアプリの画面に氏名や生年月日の入力を促す画面へ誘導するメッセージを表示する。また、日本語の環境で表示される文字列に韓国語が指定されており、更にそのメッセージにはGoogleアカウントに問題があるとしてアカウント認証用の認証コードの入力を求めており、2段階認証に必要な情報も盗取しようと試みている。
同社はこの攻撃をRoaming Mantisと名付け、2段階認証情報やユーザデータを盗んでAndroidデバイスを完全な支配下に置くことが目的だと結論付けた。また、調査で韓国でよく利用されているモバイルバンキングアプリやゲームアプリのAndroidアプリIDが確認され、悪意あるWebページのHTMLやtest.dexで一番標的となっており、蔓延しているのが韓国であることから、もともとは韓国を標的とし、その後アジア地域に拡大したと推測している。同社は、DNS設定が改竄されていないか確認するよう呼び掛けている。
