Roaming Mantis, un malware Android (s’ouvre dans un nouvel onglet) Une opération qui vise à voler des données sensibles, et potentiellement même de l’argent, à ses victimes, vise désormais le peuple français, selon des chercheurs en cybersécurité.
Avant de cibler les Français, Roaming Mantis a attaqué des personnes en Allemagne, à Taïwan, en Corée du Sud, au Japon, aux États-Unis et au Royaume-Uni, BipOrdinateur rapports.
Ce n’est pas la même chose que le botnet Mantis, qui est récemment apparu comme l’un des botnets les plus grands et les plus puissants jamais apparus.
Des dizaines de milliers de victimes
L’opération de migration a été repérée par des chercheurs en cybersécurité de SEKOIA. Après avoir analysé la campagne, les chercheurs ont découvert que la méthodologie n’avait pas beaucoup changé : les victimes recevaient d’abord un SMS, et selon qu’elles étaient un utilisateur iOS ou Android, elles étaient redirigées vers différents sites.
Les utilisateurs d’Apple seraient redirigés vers une page de phishing où les attaquants essaieraient de les inciter à donner leurs informations d’identification, tandis que les utilisateurs d’Android seraient invités à télécharger XLoader (MoqHao), un logiciel malveillant puissant qui permet aux acteurs de la menace d’accéder à distance au terminal compromis, d’accéder aux données sensibles, ainsi qu’aux applications SMS (éventuellement pour étendre davantage l’opération).
Les chercheurs pensent que Roaming Mantis s’est rendu en France en février 2022. Les utilisateurs à l’extérieur du pays, recevant le SMS, sont en sécurité, car les serveurs afficheront un 404 et arrêteront l’attaque.
Apparemment, la campagne est plutôt un succès, car plus de 90 000 adresses IP uniques ont jusqu’à présent téléchargé XLoader à partir du serveur de commande et de contrôle principal, ont découvert les chercheurs. Avec les utilisateurs d’iOS dans le mélange, le nombre augmente encore plus mais est, malheureusement, impossible à déterminer.
Roaming Mantis est également très bon pour garder un profil bas et éviter les solutions antivirus. Il obtient la configuration C2 à partir de destinations de profil Imgur codées en dur, encodées en base64, a-t-on dit.
À part cela, l’infrastructure de la campagne est essentiellement la même, par rapport à avril, lors de sa dernière analyse, selon la publication. Les serveurs ont toujours des ports ouverts sur TCP/443, TCP/5985, TCP/10081 et TCP/47001 et utilisent les mêmes certificats.
« Les domaines utilisés dans les messages SMS sont soit enregistrés auprès de Godaddy, soit utilisent des services DNS dynamiques tels que duckdns.org », a déclaré SEKOIA.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)