Roaming Mantis : Le trojan visant iCloud et Android
Charles Gouin-Peyrot
Publié le 26 juillet 2022 · 3 min de lecture
"MoqHao (alias Wroba, XLoader pour Android) est un cheval de Troie d'accès à distance (RAT) pour Android, doté de capacités de vol d'informations et de porte dérobée, qui se propage probablement par SMS", indiquent les chercheurs de Sekoia.Tout commence par un SMS de phishing, une technique connue sous le nom de smishing, qui consiste à attirer les utilisateurs avec des messages sur le thème de la livraison de colis contenant des liens malveillants qui, lorsqu'ils sont cliqués, permettent de télécharger le fichier APK malveillant, mais seulement après avoir déterminé si la victime se trouve à l'intérieur des frontières françaises.
Si le destinataire se trouve hors de France et que le système d'exploitation de l'appareil n'est ni Android ni iOS, ce qui est vérifié en contrôlant l'adresse IP et la chaîne User-Agent - le serveur est conçu pour répondre par un code d'état "404 Not found".
"La campagne de smishing est donc géofenestrée et vise à installer un logiciel malveillant Android ou à collecter les informations d'identification iCloud d'Apple", soulignent les chercheurs.MoqHao utilise généralement des domaines générés par le service DNS dynamique Duck DNS pour son infrastructure de diffusion de première étape. De plus, l'application malveillante se fait passer pour l'application du navigateur Web Chrome afin d'inciter les utilisateurs à lui accorder des autorisations envahissantes. Le cheval de Troie espion Roaming Mantis, en utilisant ces autorisations, fournit une voie d'interaction à distance avec les appareils infectés, permettant à l'adversaire de récolter furtivement des données sensibles telles que les données iCloud, les listes de contacts, l'historique des appels, les messages SMS, entre autres. Sekoia a également évalué que les données amassées pourraient être utilisées pour faciliter les schémas d'extorsion ou même vendues à d'autres acteurs de la menace à des fins lucratives. "Plus de 90 000 adresses IP uniques [...] ont sollicité le serveur C2 distribuant MoqHao", notent les chercheurs.
L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.