Un nouveau malware, dénommé Roaming Mantis, se propage sur les appareils Android

Un nouveau malware se propageant sur des appareils Android a été identifié. Baptisé Roaming Mantis, ce logiciel malveillant est conçu pour être distribué à travers le détournement de paramètres DNS. Les services DNS installés sur les serveurs ne sont pas impactés par cette attaque.

Vecteur d'infection et d'attaque :

Lorsqu'un utilisateur tente d'accéder à un site web légitime via un routeur compromis, il est redirigé vers une contrefaçon convaincante du site web initialement requêté. Une boite de dialogue apparaît alors avec le texte "Pour une meilleure expérience de navigation, mettre à jour Chrome à la dernière version". Lorsque l'utilisateur clique sur OK, un fichier 'chrome.apk' est téléchargé. Cet apk correspond au malware Roaming Mantis téléchargé depuis le serveur "my[dot]tv.sohu[dot].com" hébergeant le serveur de commande et contrôle.

L'utilisateur est ensuite invité à accorder plusieurs autorisations au malware, notamment la possibilité d'apparaître sur d'autres applications, d'accéder à la liste de contacts, de collecter des informations sur le compte, d'envoyer / recevoir des SMS et d'effectuer des appels téléphoniques. Puis, l'utilisateur est invité à donner son nom et sa date de naissance sur une fausse page de Google. Cela permet au malware de contourner l'authentification à double facteur.

En utilisant les informations recueillies, une personne malveillante peut voler l'identité de la victime et mener d'autres attaques plus poussées et avec un impact plus important.

Recommandations :

Pour se protéger contre ce type d'attaque, il est recommandé de mettre à jour les firmwares des routeurs et de renforcer l'authentification à leurs panneaux d’administration (en utilisant par exemple un mot de passe fort).