Un logiciel malveillant Android cible les Européens
C
charles
Publié le 09 February 2022 · 2 min de lecture
Une campagne à motivation financière qui cible les appareils Android et diffuse des malwares mobiles via des techniques de phishing par SMS depuis au moins 2018 a étendu ses tentacules pour frapper pour la première fois des victimes situées en France et en Allemagne.
Baptisée Roaming Mantis, la dernière vague d'activités observée en 2021 implique l'envoi de faux textes liés à l'expédition contenant une URL vers une page de destination à partir de laquelle les utilisateurs d'Android sont infectés par un cheval de Troie bancaire connu sous le nom de Wroba tandis que les utilisateurs d'iPhone sont redirigés vers une page de phishing qui se fait passer pour le site officiel d'Apple.
Les pays les plus touchés, d'après les données télémétriques recueillies par Kaspersky entre juillet 2021 et janvier 2022, sont la France, le Japon, l'Inde, la Chine, l'Allemagne et la Corée.
Également traquée sous les noms de MoqHao et XLoader (à ne pas confondre avec le malware voleur d'infos du même nom ciblant Windows et macOS), l'activité du groupe a continué de s'étendre géographiquement, même si les opérateurs ont élargi leurs méthodes d'attaque pour miner des crypto-monnaies à partir d'appareils Apple et échapper à la détection.
L'objectif principal de la campagne est de déployer Wroba, qui fonctionne à la fois comme un logiciel espion et un malware bancaire, avec des capacités permettant de remplacer les applications légitimes par des versions malveillantes et de voler les informations d'identification associées aux comptes bancaires en ligne des victimes.
Une analyse plus poussée des artefacts du malware a révélé le passage du langage de programmation de Java à Kotlin et l'ajout de deux nouvelles commandes backdoor qui permettent à Wroba d'exfiltrer les galeries et les photos des appareils infectés.
L'objectif principal de la campagne est de déployer Wroba, qui fonctionne à la fois comme un logiciel espion et un malware bancaire, avec des capacités permettant de remplacer les applications légitimes par des versions malveillantes et de voler les informations d'identification associées aux comptes bancaires en ligne des victimes.
Une analyse plus poussée des artefacts du malware a révélé le passage du langage de programmation de Java à Kotlin et l'ajout de deux nouvelles commandes backdoor qui permettent à Wroba d'exfiltrer les galeries et les photos des appareils infectés.
"Un scénario possible est que les criminels volent des détails à partir d'éléments tels que les permis de conduire, les cartes d'assurance maladie ou les cartes bancaires, pour souscrire des contrats avec des services de paiement par code QR ou des services de paiement mobile", ont déclaré les chercheurs. "Les criminels sont également en mesure d'utiliser les photos volées pour obtenir de l'argent par d'autres moyens, comme le chantage ou la sextorsion."
