DNS-Hijacking Malware ciblant iOS, Android et les utilisateurs de bureau dans le monde entier

Les logiciels malveillants de détournement de DNS généralisés des routeurs qui ont récemment trouvé le ciblage des appareils Android ont maintenant été mis à niveau pour cibler les appareils iOS ainsi que les utilisateurs de bureau.

Surnommé Roaming Mantis , le malware a été initialement trouvé détournant des routeurs Internet le mois dernier pour distribuer des logiciels malveillants Android bancaires conçus pour voler les identifiants de connexion des utilisateurs et le code secret pour l’authentification à deux facteurs.

Selon les chercheurs en sécurité de Kaspersky Lab , le groupe criminel derrière la campagne Roaming Mantis a élargi ses cibles en ajoutant des attaques de phishing pour les appareils iOS et un script d’extraction de crypto-monnaie pour les utilisateurs de PC.

En outre, alors que les attaques initiales visaient des utilisateurs d’Asie du Sud-Est, notamment la Corée du Sud, la Chine et le Japon, la nouvelle campagne prend désormais en charge 27 langues afin d’étendre ses opérations à l’Europe et au Moyen-Orient.



Comment fonctionne le logiciel malveillant Manting itinérant

Similaire à la version précédente, le nouveau malware de Roaming Mantis est distribué via le détournement DNS , où les pirates modifient les paramètres DNS des routeurs sans fil pour rediriger le trafic vers des sites malveillants contrôlés par eux.

Ainsi, chaque fois que les utilisateurs tentent d’accéder à un site Web via un routeur compromis, ils sont redirigés vers des sites Web malveillants, qui servent :

  • fausses applications infectées par des logiciels malveillants bancaires aux utilisateurs d’Android,
  • sites de phishing pour les utilisateurs iOS,
  • Sites avec script d’extraction de crypto-monnaie pour les utilisateurs de bureau

"Une fois que l’utilisateur [Android] est redirigé vers le site malveillant, il est invité à mettre à jour le navigateur [app], ce qui entraîne le téléchargement d’une application malveillante nommée chrome.apk (il existe une autre version, nommée facebook.apk ) ", disent les chercheurs.

Pour échapper à la détection, les faux sites Web génèrent de nouveaux paquets en temps réel avec des fichiers Apk malveillants uniques à télécharger, et définissent également le nom du fichier sous la forme de huit nombres aléatoires.

Une fois installés, les pirates peuvent contrôler les appareils Android infectés en utilisant 19 commandes backdoor intégrées, y compris-sendSms, setWifi, gcont, lock, onRecordAction, appel, get_apps, ping et plus encore.

Si les victimes possèdent un appareil iOS, le logiciel malveillant redirige les utilisateurs vers un site d’hameçonnage imitant le site Web d’Apple, prétendant être « security.app.com », et leur demande d’entrer leur ID utilisateur, mot de passe, numéro de carte, date d’expiration de la carte et le numéro CVV.

En plus de voler des informations sensibles sur les appareils Android et iOS, les chercheurs ont découvert que Roaming Mantis injecte un script d’exploration de crypto-monnaie basé sur un navigateur depuis CoinHive sur chaque page de destination s’il est visité avec Monero.

En gardant à l’esprit ces nouvelles capacités et la croissance rapide de la campagne, les chercheurs croient que « ceux qui la soutiennent ont une forte motivation financière et sont probablement bien financés ».

Voici comment vous protéger de la mante errante

Afin de vous protéger contre ces logiciels malveillants, il est conseillé de vous assurer que votre routeur exécute la dernière version du micrologiciel et qu’il est protégé par un mot de passe sécurisé.

Comme la campagne de piratage utilise des serveurs DNS contrôlés par un attaquant pour usurper des domaines légitimes et rediriger les utilisateurs vers des fichiers de téléchargement malveillants, il est conseillé de s’assurer que les sites que vous visitez sont compatibles HTTPS.

Vous devez également désactiver la fonction d’administration à distance de votre routeur et coder en dur un serveur DNS de confiance dans les paramètres réseau du système d’exploitation.

Les utilisateurs d’appareils Android sont toujours invités à installer des applications à partir des magasins officiels et à désactiver l’installation d’applications provenant de sources inconnues sur leur smartphone en se rendant sur Paramètres → Sécurité → Sources inconnues.

Pour vérifier si votre routeur Wi-Fi est déjà compromis, vérifiez vos paramètres DNS et vérifiez l’adresse du serveur DNS. S’il ne correspond pas à celui émis par votre fournisseur, remplacez-le par le bon. Changez également tous les mots de passe de votre compte immédiatement.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image