Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Roaming Mantis étend les attaques de type DNS Hijacking de l’Asie au reste du monde et y ajoute le cryptominage

mai 2018 par Kaspersky Lab

Le 16 avril, les chercheurs de Kaspersky Lab ont signalé un nouveau malware Android diffusé via une technique de manipulation du Domain Name System (DNS Hijacking) et visant principalement les smartphones en Asie. Quatre semaines plus tard, la menace continue d’évoluer rapidement et élargit désormais son ciblage géographique pour y inclure l’Europe et le Moyen-Orient, en y ajoutant une option de phishing pour les appareils iOS et une capacité de minage de cryptomonnaie sur PC. Cette campagne malveillante, dénommée Roaming Mantis, est principalement conçue pour dérober des informations aux utilisateurs, notamment leurs identifiants, et donner aux auteurs des attaques le contrôle total des machines infectées. Les chercheurs pensent qu’un groupe cybercriminel coréanophone ou sinophone se cache derrière l’opération, en quête d’un gain financier.

Méthode d’attaque

Les résultats de l’enquête de Kaspersky Lab indiquent que ceux qui se cachent derrière les attaques Roaming Mantis recherchent des routeurs vulnérables à pirater et propagent le malware par une technique simple mais très efficace, consistant à manipuler les paramètres DNS des routeurs infectés. La méthode de piratage des routeurs demeure inconnue. Une fois le DNS détourné avec succès, toute tentative d’accès à un site web par un utilisateur le dirige vers une URL d’apparence authentique mais présentant un contenu falsifié, issu du serveur des attaquants. L’utilisateur se voit notamment invité à installer la dernière version de Chrome pour améliorer la qualité de la navigation. Un clic sur le lien affiché déclenche l’installation d’une application renfermant un cheval de Troie, nommée « facebook.apk » ou « chrome.apk ». Cette application contient le backdoor de l’attaque pour Android.

Le malware Roaming Mantis vérifie si l’appareil est en mode root et demande l’autorisation d’être notifié de toute communication ou activité de navigation effectuée par l’utilisateur. Il est également capable de collecter un large éventail de données, notamment des identifiants pour une authentification à deux facteurs. Ces spécificités, ainsi que le fait qu’une partie du code malveillant fasse référence à des applications bancaires mobiles ou des jeux, très prisés en Corée du Sud, laissent penser qu’une possible motivation financière est à l’origine de cette campagne.

Extension du ciblage géographique et des fonctionnalités

L’étude initiale de Kaspersky Lab a découvert environ 150 cibles, principalement en Corée du Sud, au Bangladesh et au Japon, mais elle a également révélé des milliers de connexions aboutissant quotidiennement aux serveurs de commande et de contrôle (C&C) des assaillants, ce qui indique une attaque de bien plus grande ampleur. Au départ, le malware affichait ses messages dans quatre langues : coréen, chinois simplifié, japonais et anglais.

La portée de l’attaque s’est aujourd’hui élargie, avec l’utilisation de 27 langues au total, notamment le polonais, l’allemand, l’arabe, le bulgare et le russe. Ses auteurs ont par ailleurs introduit une redirection vers des pages de phishing dédiées à Apple dans le cas où le malware rencontre un appareil iOS. Le dernier ajout dans leur arsenal est un site web malveillant doté d’une capacité de cryptominage sur PC. D’après les observations de Kaspersky Lab, au moins une vague d’attaques plus vastes a eu lieu, les chercheurs ayant identifié plus d’une centaine de cibles parmi les clients de la société en l’espace de quelques jours.

« Lorsque nous avons publié notre premier rapport sur Roaming Mantis en avril, nous avons précisé qu’il s’agissait d’une menace active et en mutation rapide. De nouveaux éléments révèlent un élargissement spectaculaire du ciblage géographique, qui englobe à présent l’Europe et le Moyen-Orient, entre autres. Nous pensons que les auteurs de ces attaques sont des cybercriminels mus par l’appât du gain et nous avons découvert un certain nombre d’indices laissant penser que ceux-ci utilisent la langue chinoise ou coréenne. Il existe clairement une motivation considérable derrière cette menace. ¨Par conséquent il est peu probable qu’elle disparaisse de sitôt. L’utilisation de routeurs infectés et de DNS piratés souligne la nécessité d’une robuste protection des appareils et de connexions sécurisées », commente Suguru Ishimaru, chercheur en sécurité chez Kaspersky Lab au Japon.

Les produits de Kaspersky Lab détectent la menace Roaming Mantis sous la désignation Trojan-Banker.AndroidOS.Wroba.

Afin de protéger votre connexion Internet de cette infection, Kaspersky Lab recommande les précautions suivantes :

 ? Se reporter au manuel d’utilisation de votre routeur pour vérifier que vos paramètres DNS n’ont pas été manipulés ou bien demander l’aide de votre FAI.

 ? Modifier l’identifiant et le mot de passe par défaut de l’interface d’administration web du routeur et mettre régulièrement à jour son firmware depuis la source officielle.

 ? Ne jamais installer de firmware de routeur à partir d’une source tierce. Eviter d’utiliser des répertoires tiers pour vos appareils Android.

 ? En outre, toujours vérifier que les adresses du navigateur et des sites web sont authentiques, notamment par la présence du préfixe https lorsqu’il faut saisir des données.

 ? Envisager d’installer une solution de sécurité mobile, telle que Kaspersky Internet Security for Android, afin de protéger vos appareils contre cette menace et d’autres.


Voir les articles précédents

    

Voir les articles suivants