Roaming Mantis : la vaste attaque malware qui touche des appareils Android et iOS

Publié le 24 mai 2018

Il y a un peu plus d’un mois, le 16 avril, les chercheurs en sécurité de Kaspersky Lab ont découvert un malware Android diffusé via une attaque DNS. Ce programme malveillant ciblant principalement les smartphones Android sur le continent asiatique n’a cessé de se répandre et s’étend désormais jusqu’en Europe et au Moyen-Orient. Pire encore, le malware baptisé Roaming Mantis intègre désormais une option de phishing sur les appareils iOS et un mineur de cryptomonnaie sur PC.

Comment fonctionne Roaming Mantis ?

Selon Kaspersky Lab, les hackers derrière cette attaque procèdent en cherchant des routeurs vulnérables pour diffuser une malware via une technique de manipulation DNS classique. Une fois l’attaque perpétrée, la box internet ou le routeur est détourné. Ainsi lorsque l’utilisateur se rend sur une page web, il est redirigé vers une autre page qui semble authentique mais qui présente en réalité du contenu falsifié par les hackers.

Sur cette page, l’utilisateur est invité à télécharger la dernière version de Chrome pour « optimiser sa navigation ». Il téléchargera en réalité un fichier chrome.apk (ou facebook.apk selon les cas) qui contient un cheval de Troie. Une fois en place sur l’appareil, il vérifie que ce dernier est rooté et demande l’autorisation pour suivre les communications ainsi que la navigation. En arrière-plan, le logiciel va en réalité collecter des données telles que des identifiants  d’applications utilisées au quotidien (applications bancaires, jeux). A noter qu’il est également capable de collecter des données même en cas d’authentification à double facteur.

Sur iOS, l’utilisateur est redirigé vers une page de phishing ressemblant à une page du site Apple.

S’il s’agit d’un PC, le site web exploite les ressources de la machine en minant de la cryptomonnaie à l’insu de l’utilisateur.

Le script de minage Coinhive est utilisé par les hackers

L’attaque est vaste et se propage rapidement, elle utiliserait pas moins de 27 langues dont l’arabe, l’allemand ou encore le bulgare. Le français n’est pour l’heure pas concerné, mais l’attaque prend de l’ampleur.

Kaspersky précise que ses logiciels antivirus détectent Roaming mantis sous le nom de Trojan-Banker.AndroidOS.Wroba.

Comment se protéger contre Roaming Mantis ?

Le malware est diffusé via une attaque DNS, cela signifie qu’avant de protéger votre smartphone ou tablette, il faut sécuriser votre connexion internet. Kaspersky recommande de vérifier les paramètres DNS de son routeur pour vérifier qu’ils n’ont pas été modifiés. En cas de doute, renseignez-vous auprès de votre FAI. Vérifiez également que votre box ou routeur est à jour.

En ce qui concerne votre appareil Android, évitez de télécharger des applications en dehors des plateformes fiables telles que de Google Play. Sur iOS et PC, vérifiez constamment l’adresse des sites que vous visitez, notamment la présence de la mention HTTPS, si vous êtes amené à saisir des informations sensibles.

Source: Kaspersky