Une nouvelle application Android a été trouvée incitant les utilisateurs sans méfiance (même ceux avec des appareils propres) à visiter des versions malveillantes de sites Web populaires, où ils pourraient finir par donner leurs identifiants de connexion, ou pire encore – de l’argent.
Les résultats sont une gracieuseté de Kaspersky, qui a découvert qu’une application Android malveillante contenant le malware Wroba.o/Agent.eq (alias Moqhao, XLoader) était distribuée.
Lorsque l’application est téléchargée, elle essaie de se connecter au routeur Wi-Fi auquel l’appareil mobile est connecté. Pour ce faire, il essaiera les combinaisons nom d’utilisateur/mot de passe les plus courantes, ainsi que celles connues pour venir avec les paramètres d’usine (comme admin/admin). S’il réussit, il changera le serveur DNS en un serveur malveillant sur lequel l’acteur de la menace a le contrôle.
Mante errante
Cela permet aux opérateurs du logiciel malveillant de rediriger tous les utilisateurs connectés à ce réseau Wi-Fi spécifique, y compris ceux sans logiciel malveillant, vers des versions malveillantes de sites Web populaires.
Par exemple, si un point de terminaison compromis se connecte à un réseau Wi-Fi public dans un café très fréquenté et finit par modifier les paramètres du serveur DNS dans le routeur, tous les autres utilisateurs de ce café qui tentent de se connecter à Facebook seront en fait redirigés vers un faux Facebook. page. Là, on leur demandera de fournir leurs informations de connexion et s’ils le font, ils finiront par donner leurs identifiants de connexion aux escrocs.
Les chercheurs n’ont pas nommé les applications distribuées, mais ont déclaré que les APK avaient été téléchargés au moins 46 000 fois au Japon, en Autriche, en France, en Allemagne, en Corée du Sud, en Turquie, en Malaisie et en Inde. Avec plus de 24 000 téléchargements, le Japon est de loin le pays le plus touché.
Le groupe derrière les applications est prétendument Roaming Mantis. Pour se prémunir contre ce type d’attaque, le mieux serait d’éviter de se connecter à des comptes importants sur les réseaux Wi-Fi publics.
Via : ArsTechnica (s’ouvre dans un nouvel onglet)