Roaming Mantis Hackers Financiers

La campagne de menaces mobiles suivie comme Mante errante a été liée à une nouvelle vague de compromissions dirigées contre les utilisateurs français de téléphones mobiles, des mois après avoir élargi son ciblage pour inclure les pays européens.

Pas moins de 70 000 appareils Android auraient été infectés dans le cadre de l’opération de malware actif, a déclaré Sekoia dans un rapport publié la semaine dernière.

Les chaînes d’attaque impliquant Roaming Mantis, un acteur menaçant chinois à motivation financière, sont connues pour déployer un morceau de cheval de Troie bancaire nommé MoqHao (alias XLoader) ou rediriger les utilisateurs d’iPhone vers des pages de destination de collecte d’informations d’identification qui imitent la page de connexion iCloud.

La Cyber-Sécurité

« MoqHao (alias Wroba, XLoader pour Android) est un cheval de Troie d’accès à distance (RAT) Android doté de capacités de vol d’informations et de porte dérobée qui se propage probablement par SMS », ont déclaré les chercheurs de Sekoia. a dit.

Logiciel Malveillant Roaming Mantis

Tout commence par un SMS de phishing, une technique connue sous le nom de smishing, incitant les utilisateurs avec des messages sur le thème de la livraison de colis contenant des liens malveillants, qui, une fois cliqués, procèdent au téléchargement du fichier APK malveillant, mais seulement après avoir déterminé si l’emplacement de la victime est en français les frontières.

Publicité
Logiciel Malveillant Roaming Mantis

Si un destinataire est situé hors de France et que le système d’exploitation de l’appareil n’est ni Android ni iOS – un facteur vérifié en vérifiant l’adresse IP et le Agent utilisateur string – le serveur est conçu pour répondre avec un « 404 Non trouvé« code d’état.

La Cyber-Sécurité

« La campagne de smishing est donc géo-clôturée et vise à installer des malwares Android, ou à collecter des identifiants Apple iCloud », soulignent les chercheurs.

MoqHao utilise généralement domaines généré via le service DNS dynamique Duck DNS pour son infrastructure de livraison de première étape. De plus, l’application malveillante se fait passer pour l’application de navigateur Web Chrome pour inciter les utilisateurs à lui accorder des autorisations invasives.

Le cheval de Troie de logiciels espions fournit une fenêtre de voie pour l’interaction à distance avec les appareils infectés, permettant à l’adversaire de récolter furtivement des données sensibles telles que les données iCloud, les listes de contacts, l’historique des appels, les messages SMS, entre autres.

Sekoia a également évalué que les données amassées pourraient être utilisées pour faciliter des programmes d’extorsion ou même vendues à d’autres acteurs de la menace à des fins lucratives. « plus de 90 000 adresses IP uniques qui ont demandé le serveur C2 distribuant MoqHao », ont noté les chercheurs.


Rate this post
Publicité
Article précédentMigi & Dali Anime obtient un teaser visuel et des informations sur le personnel
Article suivantComment détruire les bateaux à moteur pour les défis de la semaine 6 de Fortnite
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici