Il y a environ un mois, les experts de Kaspersky Lab ont déjà signalé un malware Android appelé Mante itinérante. À l'époque, les utilisateurs du Japon, de la Corée, de la Chine, de l'Inde et du Bangladesh étaient les principales cibles de l'attaque, mais aujourd'hui, les commanditaires ont étendu leurs attaques à l'Europe et au Moyen-Orient. En outre, les logiciels malveillants utilisés circulent également en allemand. Le malware se propage par le biais de routeurs compromis, infectant les smartphones et tablettes Android, redirigeant les appareils iOS vers des sites de phishing et exécutant le script de cryptomining CoinHive sur les ordinateurs de bureau et portables. Les criminels utilisent pour cela une astuce très simple mais efficace, le détournement de DNS de sorte que les utilisateurs ne remarquent souvent même pas que quelque chose ne va pas.
C'était un détournement de DNS.
Lorsque vous saisissez le nom d'un site web dans la barre d'adresse du navigateur, celui-ci n'envoie en principe aucune requête à cette page. L'internet fonctionne sur la base d'adresses IP, qui sont des groupes de chiffres. Les domaines, en revanche, qui sont constitués de lettres, ne sont destinés qu'aux humains, car ils sont plus faciles à mémoriser et à saisir. Ainsi, lorsque vous saisissez une adresse URL dans le navigateur, sa première tâche est d'envoyer une requête à un serveur dit DNS Système de noms de domaines, qui traduit le nom humain en adresse IP du site web correspondant. Le navigateur utilise ensuite cette adresse IP pour rechercher et ouvrir une page. Le détournement de DNS est un moyen de faire croire au navigateur que le nom de domaine correspond à l'adresse IP réelle, bien que ce ne soit pas le cas. Il existe de nombreuses techniques de détournement de DNS, mais les développeurs de la Mante itinérante ont probablement choisi la plus simple et la plus efficace de toutes. Ils détournent les paramètres des routeurs compromis et les forcent à utiliser leurs propres serveurs DNS malveillants. Cela signifie que les utilisateurs connectés à un appareil via ce routeur sont redirigés vers un site web d'apparence réelle avec du faux contenu, peu importe ce que vous tapez dans la barre d'adresse du navigateur.
La mante itinérante sur les appareils Android
Une fois que l'utilisateur est redirigé vers le site web malveillant, il est invité à télécharger la dernière version de Chrome. Cela entraînera l'installation d'un cheval de Troie nommé facebook.apk ou chrome.apk qui contient une porte dérobée Android. Le logiciel malveillant demande un certain nombre de droits pendant le processus d'installation, notamment l'accès aux informations sur le compte, aux fichiers, l'envoi et la réception de messages texte, le traitement des appels vocaux, l'enregistrement audio. Pour une application de confiance telle que Google Chrome, une telle liste ne semble pas trop suspecte si l'utilisateur considère cette mise à jour du navigateur comme légitime, il ne lit probablement même pas la liste. Après l'installation, le malware accède à une liste de tous les comptes pour savoir quel compte Google est utilisé sur l'appareil. L'utilisateur reçoit alors un message l'informant que quelque chose ne va pas avec le compte et qu'il devra se connecter à nouveau. Une page s'ouvrira alors, invitant l'utilisateur à saisir son nom et sa date de naissance. Ces données, associées à des autorisations de SMS qui permettent aux criminels d'accéder aux codes nécessaires à l'authentification à deux facteurs, sont ensuite apparemment utilisées par les développeurs de Roaming Mantis pour voler des comptes Google.
Mante itinérante : fonction de crypto-mining contre les PC et option de phishing iOS
Au début, la mante itinérante ne pouvait afficher que des messages en quatre langues : anglais, coréen, chinois et japonais. Toutefois, 27 langues sont désormais prises en charge. Non seulement les développeurs ont distribué le malware dans d'autres langues, mais ils ont aussi appris à la Mante itinérante à attaquer les appareils iOS. Toutefois, le scénario est différent de celui des appareils basés sur les androïdes. Le téléchargement de l'application n'est pas nécessaire. Au lieu de cela, les victimes sont redirigées vers un site de phishing avec des sujets liés à Apple et on leur demande de se reconnecter à l'App Store. Dans la barre d'adresse, l'utilisateur voit apparaître l'adresse apparemment fiable security.apple.com. Cependant, les cybercriminels ne se limitent pas à voler les identifiants Apple d'un utilisateur ; immédiatement après avoir saisi les données, l'utilisateur se voit également demander un numéro de carte bancaire. Sur les ordinateurs de bureau et les portables, la Mante itinérante utilise le script d'extraction CoinHive, qui permet de mettre la monnaie cryptée directement entre les mains des criminels.
Pour se protéger de la mante errante
Et si vous avez déjà été infecté par la mante itinérante ? Changez immédiatement tous les mots de passe des comptes qui ont été compromis par le malware. Bloquez toutes les cartes de débit dont vous avez saisi les informations sur le site Roaming Mantis Phishing. Installez une solution audiovisuelle sur tous vos appareils et effectuez une analyse du système. Regardez les paramètres de votre routeur et vérifiez l'adresse du serveur DNS. S'il ne correspond pas à l'adresse de votre fournisseur, apportez les modifications appropriées. Changez le mot de passe administrateur de votre routeur et mettez à jour le microprogramme.