Roaming Mantis, une opération de malware Android (ouvre dans un nouvel onglet) qui vise à voler des données sensibles, et potentiellement même de l'argent, à ses victimes, cible désormais les Français, selon des chercheurs en cybersécurité.
Avant de cibler les Français, les Roaming Mantis ont attaqué des personnes en Allemagne, à Taïwan, en Corée du Sud, au Japon, aux États-Unis et au Royaume-Uni, rapporte BleepingComputer.
Ce n'est pas la même chose que le botnet Mantis, qui est récemment devenu l'un des plus grands et des plus puissants botnets de l'histoire.
Des dizaines de milliers de victimes
L'opération de migration a été détectée par les chercheurs en cybersécurité de SEKOIA. Après avoir analysé la campagne, les chercheurs ont constaté que la méthodologie n'avait pas beaucoup changé : les victimes recevaient d'abord un SMS et, selon qu'elles étaient utilisatrices d'iOS ou d'Android, elles étaient redirigées vers différents sites.
Les utilisateurs d'Apple seraient redirigés vers une page de phishing où les attaquants essaieraient de les inciter à fournir leurs informations d'identification, tandis que les utilisateurs d'Android seraient invités à télécharger XLoader (MoqHao), un logiciel malveillant puissant qui permet aux attaquants d'accéder à distance à l'appareil compromis. accéder aux données sensibles ainsi qu'aux applications SMS (éventuellement pour prolonger encore l'opération).
Les chercheurs pensent que le Roaming Mantis s'est rendu en France en février 2022. Les utilisateurs hors du pays qui reçoivent le SMS sont en sécurité, car les serveurs afficheront un 404 et arrêteront l'attaque.
La campagne est apparemment un véritable succès, car plus de 90,000 XNUMX adresses IP uniques ont jusqu'à présent téléchargé XLoader à partir du serveur de commande et de contrôle principal, ont découvert les chercheurs. Avec les utilisateurs d'iOS dans le mélange, le nombre augmente encore plus mais, malheureusement, il est impossible de le déterminer.
Roaming Mantis est également très bon pour garder un profil bas et éviter les solutions antivirus. Obtient les paramètres C2 à partir des cibles de profil Imgur encodées en base64, a-t-il déclaré.
À part cela, l'infrastructure de la campagne est essentiellement la même, par rapport à avril lors de sa dernière analyse, selon le message. Les serveurs ont toujours des ports ouverts sur TCP/443, TCP/5985, TCP/10081 et TCP/47001 et utilisent les mêmes certificats.
"Les domaines utilisés dans les messages SMS sont soit enregistrés auprès de Godaddy, soit utilisent des services DNS dynamiques tels que duckdns.org", a déclaré SEKOIA.
Via : BleepingComputer (Ouvre dans un nouvel onglet)