Skip to main

Les chercheurs de Kaspersky ont détecté Roaming Mantis pour la première fois en avril 2018. À l'époque, les cybercriminels impliqués ne ciblaient que les smartphones Android, principalement en Asie (Corée du Sud, Bangladesh et Japon). Mais cette campagne a considérablement évolué en peu de temps. Depuis 2018, les attaques se sont diversifiées (phishing, minage, smishing et DNS-hijacking) et étendues à certains pays européens. 


Généralement, les messages de smishing contiennent une description très courte et l'URL d'une page de renvoi, dont l’ouverture par l’utilisateur mène à deux scénarios possibles : s'il s'agit d'un utilisateur iOS, il est redirigé vers une page de phishing imitant le site officiel d'Apple et invité à saisir ses identifiants. S’il s’agit d’un appareil Android, il est infecté par un malware qui envoie des messages de smishing à d’autres cibles figurant parmi les contacts de l’utilisateur, mais aussi à des numéros de téléphone générés. En voyant que les SMS proviennent de personnes qu’ils connaissent, les utilisateurs sont généralement moins méfiants et ne suspectent pas un message malveillant. Cette campagne de smishing a atteint une telle intensité en France et en Allemagne que la police et des médias locaux ont publié des mises en garde.

L'une des fonctionnalités mises en place par les hackers permet de vérifier la région de l'appareil Android infecté afin d'afficher une page de phishing dans la langue correspondante. Dans les versions précédentes, cela ne concernait que trois zones géographiques : Hong Kong, Taïwan et le Japon. Les experts de Kaspersky ont observé une mise à jour dans la dernière version du payload, avec l’ajout de l'Allemagne et de la France en tant que nouvelles régions. L'utilisation de la langue maternelle des cibles permet d’influencer leurs décisions et de les convaincre plus facilement de partager leurs informations personnelles et bancaires.

La version la plus récente intègre également de nouvelles commandes de porte dérobée qui sont destinées à voler les photos des appareils infectés, mais aucune information sur la manière exacte dont les pirates les utilisent n'a été trouvée. Cependant, les cybercriminels utilisent souvent les photos personnelles pour obtenir de l'argent via le chantage ou la sextorsion.

« Roaming Mantis a activement évolué au cours des cinq dernières années, avec de nouveaux modes d'attaque et un plus grand nombre de pays ciblés. Nous prévoyons que ces attaques se poursuivront en 2022, car elles sont fortement motivées par l’argent, surtout avec l'arrivée de nouvelles fonctionnalités de porte dérobée permettant aux hackers d'utiliser les photos des victimes. Pour assurer la sécurité des utilisateurs du monde entier, nous effectuons constamment des recherches et des rapports sur les dernières activités de Roaming Mantis », souligne Suguru Ishimaru, senior security researcher au sein de la Global Research and Analysis Team de Kaspersky (GReAT).

Pour consulter l’intégralité du rapport sur Roaming Mantis partie VI, rendez-vous sur Securelist.

Pour vous protéger des attaques de smishing de Roaming Mantis, Kaspersky fait les recommandations suivantes :

●       N’ouvrez pas les liens vers des URL suspectes que vous recevez par SMS. Même si un message ne semble pas frauduleux, vérifiez le domaine de l'URL avant d'y accéder.

●       Même si un message ou un courriel provient d’un de vos meilleurs amis, n'oubliez pas que son compte a peut-être été piraté, et faites preuve de prudence en toutes circonstances. Même si un message semble amical, prêtez attention aux liens et aux pièces jointes.

●       Les messages envoyés par des organismes officiels, comme des banques, des services fiscaux, des boutiques en ligne, des agences de voyage ou des compagnies aériennes, doivent également être examinés de près, y compris les communications internes de votre propre bureau. Il n’est pas très difficile de fabriquer un faux courrier ayant l’air authentique.

●       N’installez pas d'applications tierces de sources non fiables.

●       Installez une solution de sécurité digne de confiance et suivez ses recommandations. Ces solutions règlent la plupart des problèmes automatiquement et vous alertent si nécessaire.


Une campagne malveillante avancée se propage d’est en ouest

Kaspersky a découvert qu'une campagne malveillante baptisée Roaming Mantis, qui ciblait surtout des régions asiatiques jusqu'à présent, se propage en Allemagne et en France via un smishing actif (une attaque basée sur des SMS de phishing visant à rediriger les utilisateurs vers du contenu frauduleux). Le groupe de hackers qui l’a lancée diffuse des malwares et des pages de phishing sur mobile pour recueillir les informations privées des cibles et leur voler leur argent. L'appareil infecté envoie ensuite des messages de smishing aux cibles suivantes, en exploitant notamment la liste de contacts de l'utilisateur.
Kaspersky Logo