Posté le juillet 26, 2022 à 12:07
DES CHERCHEURS METTENT EN GARDE LES UTILISATEURS D’ANDROID CONTRE LE GROUPE ROAMING MANTIS
Le groupe Roaming Mantis a ciblé des milliers d’utilisateurs dans plusieurs pays, notamment au Royaume-Uni, aux États-Unis, à Taiwan, au Japon et en Allemagne. Le moyen d’attaque du groupe consiste à déployer des logiciels malveillants sur iOS et Android. Le groupe a étendu son attaque à plusieurs pays européens et est actif depuis février de cette année.
La campagne de menaces sur les téléphones mobiles est désormais liée à un large éventail d’activités de piratage visant les utilisateurs de téléphones mobiles Français. Cela se produit quelques mois après que le groupe a étendu ses cibles aux pays Européens.
Selon les rapports, plus de 70 000 appareils Android ont été compromis par le groupe, dans le cadre de son opération de logiciels malveillants.
Le groupe a des motivations financières
Selon un rapport publié par Sekoia, Roaming Mantis est un groupe de menace Chinois aux motivations financières, tout comme d’autres groupes de ransomware.
Le groupe est connu pour rediriger les utilisateurs d’iPhone vers des sites infestés de logiciels malveillants ou pour déployer un cheval de Troie bancaire nommé MoqHao, également appelé XLoader. En outre, le groupe peut envoyer les utilisateurs vers des pages de destination de collecte d’informations d’identification qui agissent comme la page de connexion iCloud. Tous ces moyens permettent de voler des informations et d’implanter des logiciels malveillants dans l’appareil Android ou iOS de la cible.
Selon les chercheurs de Sekoia, MoqHao, cheval de Troie d’accès à distance (RAT) pour Android, possède une porte dérobée et des capacités de vol d’informations qui permettent de diffuser des logiciels malveillants par SMS.
Le groupe lance l’attaque via une méthode de phishing connue sous le nom de smishing. Dans cette méthode, les hackers attirent les utilisateurs en utilisant des messages sur le thème de la livraison de colis qui contiennent des liens malveillants. Lorsque la cible clique sur le lien, le processus de téléchargement du logiciel malveillant est déclenché. Toutefois, le logiciel malveillant vérifie si la victime se trouve à l’intérieur des frontières de la France avant de poursuivre le téléchargement.
Si la victime est basée hors de France et que son appareil n’est ni iOS ni Android, le serveur répond par un statut « 404 not found ». La nouvelle application a été conçue pour cibler des utilisateurs spécifiques basés en France.
Le logiciel malveillant vole les identifiants iCloud
Selon les chercheurs, la campagne de phishing a été décrite comme étant géorepérée, le logiciel malveillant étant conçu pour voler les informations d’identification iCloud d’Apple ou installer un logiciel malveillant Android.
En général, MoqHao utilise des domaines générés par le service DNS dynamique Duck DNS pour son infrastructure de diffusion de premier niveau. En outre, l’application peut se faire passer pour l’application du navigateur Web Chrome afin de tromper les utilisateurs et d’obtenir un accès pour ses invasions.
Grâce à ces privilèges, le cheval de Troie espion peut fournir une voie d’interaction à distance avec l’appareil compromis. Cela permet aux auteurs de la menace de monter une forte capacité d’attaque et de récolter des données sensibles au cours du processus. Le logiciel malveillant est capable de récolter des détails tels que les messages SMS, l’historique des appels, les listes de contacts et les données iCloud, entre autres.
Les chercheurs ont également noté que les hackers pourraient utiliser les données volées pour mener à bien leurs projets d’extorsion. Elles peuvent également être vendues sur le darknet pour que d’autres hackers les utilisent pour réaliser d’autres opérations de phishing ou d’usurpation d’identité. Sekoia ajoute que plus de 90 000 adresses IP uniques ont demandé le serveur C2 qui distribue MoqHao. De nombreux autres sont intéressés par ce logiciel malveillant et d’autres hackers pourraient inonder l’internet de diverses formes d’attaques utilisant ce logiciel malveillant voleur d’informations.
Cependant, on ne sait pas exactement combien d’utilisateurs d’iOS ont été victimes de l’attaque et ont transmis leurs informations d’identification iCloud d’Apple à leur insu. Le logiciel malveillant utilise une approche différente et cible les utilisateurs basés en France.
Le groupe cible les utilisateurs résidant en France
Le mode opératoire du groupe au cours des derniers mois montre qu’il se concentre généralement sur un pays particulier pendant un certain temps avant de passer à des cibles dans un autre pays. Cette fois, ils cherchent à compromettre les utilisateurs en France, et passeront probablement à d’autres cibles dans d’autres pays après avoir exploité les utilisateurs en France.
Cependant, les chercheurs ont signalé que Roaming Mantis n’a pas beaucoup changé son infrastructure depuis que son fonctionnement a été découvert en avril de l’année dernière.
Les serveurs ont toujours des ports ouverts sur TCP/47001, TCP/10081, TCP/5985 et TCP/443, tandis que les mêmes certificats vus en avril sont toujours utilisés.
Les domaines utilisés dans les SMS utilisent des services DNS dynamiques comme duckdns.org ou sont enregistrés auprès de Godaddy. L’infiltration et le groupe utilisent plus de 100 sous-domaines ainsi que des dizaines de FQDN sur chaque adresse IP.
En outre, l’opération de smishing est connue pour utiliser des serveurs C2 distincts de ceux utilisés par XLoader. Les chercheurs ont découvert neuf d’entre eux hébergés sur les systèmes autonomes VELIANET et EHOSTIDC.
