La campagne de menaces mobiles baptisée Roaming Mantis a été liée à une nouvelle vague de compromissions visant les utilisateurs de téléphones mobiles français, quelques mois après avoir étendu son ciblage à des pays européens.
Selon un rapport publié la semaine dernière par Sekoia, pas moins de 70 000 appareils Android auraient été infectés dans le cadre de cette opération active de logiciels malveillants.
Les chaînes d’attaques impliquant Roaming Mantis, sont connues pour déployer un cheval de Troie bancaire nommé MoqHao (alias XLoader) ou pour rediriger les utilisateurs d’iPhone vers des pages d’atterrissage de collecte d’informations d’identification qui imitent la page de connexion iCloud.
« MoqHao (alias Wroba, XLoader pour Android) est un cheval de Troie d’accès à distance (RAT) pour Android, doté de capacités de vol d’informations et de porte dérobée, qui se propage probablement par SMS« , indiquent les chercheurs de Sekoia.
Tout commence par un SMS de phishing, une technique connue sous le nom de smishing, qui consiste à attirer les utilisateurs avec des messages sur le thème de la livraison de colis contenant des liens malveillants qui, lorsqu’ils sont cliqués, permettent de télécharger le fichier APK malveillant, mais seulement après avoir déterminé si la victime se trouve à l’intérieur des frontières françaises.
Si le destinataire se trouve hors de France et que le système d’exploitation de l’appareil n’est ni Android ni iOS, ce qui est vérifié en contrôlant l’adresse IP et la chaîne User-Agent – le serveur est conçu pour répondre par un code d’état « 404 Not found« .
« La campagne de smishing est donc géofenestrée et vise à installer un logiciel malveillant Android ou à collecter les informations d’identification iCloud d’Apple« , soulignent les chercheurs.
MoqHao utilise généralement des domaines générés par le service DNS dynamique Duck DNS pour son infrastructure de diffusion de première étape. De plus, l’application malveillante se fait passer pour l’application du navigateur Web Chrome afin d’inciter les utilisateurs à lui accorder des autorisations envahissantes.
Le cheval de Troie espion Roaming Mantis, en utilisant ces autorisations, fournit une voie d’interaction à distance avec les appareils infectés, permettant à l’adversaire de récolter furtivement des données sensibles telles que les données iCloud, les listes de contacts, l’historique des appels, les messages SMS, entre autres.
Sekoia a également évalué que les données amassées pourraient être utilisées pour faciliter les schémas d’extorsion ou même vendues à d’autres acteurs de la menace à des fins lucratives. « Plus de 90 000 adresses IP uniques […] ont sollicité le serveur C2 distribuant MoqHao« , notent les chercheurs.