株式会社ラックは、ルーターのDNS設定が第三者に変更され、偽サイトへ誘導される攻撃について検証した結果を公開した。ルーターの管理画面をデフォルトパスワードのままでインターネットに公開したところ、第三者によりDNS設定などが勝手に書き換えられ、その状態でウェブサイトへアクセスすると、攻撃者が用意したウェブサイトへ誘導されたという。

ラックでは、ブルートフォース攻撃で認証を突破をしている痕跡はなかったことから、デフォルトパスワードで管理画面をインターネットに公開しているルーターを標的にした攻撃と推測している。

この攻撃は、DNS設定が改ざんされたルーターに接続したAndroid端末において、「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」と表示され、マルウェアのインストールが促されるもの。インターネット接続ができなくなる不具合も報告されている。

株式会社カスペルスキーでは、この攻撃を「Roaming Mantis」と命名。Android向けにFacebookアプリを模したマルウェアをインストールさせる当初の誘導先に加えて、仮想通貨採掘スクリプトを埋め込んだPC向けの偽サイト、個人情報やクレジットカード情報を窃取するiOS向けの偽サイトや、対応言語など、攻撃対象が拡大していることを指摘。また、ルーターの侵入方法については、デフォルトパスワードなどを用いた不正アクセスによるものとの見方を示していたが、今回のラックの検証でも、これが裏付けられている。