{"id":10548,"date":"2018-05-31T08:57:21","date_gmt":"2018-05-31T08:57:21","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10548"},"modified":"2020-05-07T17:42:39","modified_gmt":"2020-05-07T17:42:39","slug":"roaming-mantis-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/roaming-mantis-malware\/10548\/","title":{"rendered":"Roaming Mantis infecte les smartphones en utilisant des routeurs Wi-Fi"},"content":{"rendered":"

Il y a peu de temps, nos experts ont \u00e9tudi\u00e9 un malware qu\u2019ils ont surnomm\u00e9 Roaming Mantis<\/a>. \u00c0 ce moment-l\u00e0, les utilisateurs vis\u00e9s vivaient principalement au Japon, en Cor\u00e9e, en Chine, en Inde et au Bangladesh. Cette menace semblait \u00eatre locale, et c\u2019est pourquoi nous n\u2019avions pas parl\u00e9 du malware pour d\u2019autres r\u00e9gions.<\/p>\n

Cependant, depuis la date de publication de notre rapport, Roaming Mantis a appris \u00e0 parler deux douzaines de langues suppl\u00e9mentaires, et s\u2019est rapidement propag\u00e9 dans le monde.<\/p>\n

Le malware utilise des routeurs compromis pour infecter les smartphones et tablettes qui utilisent Android, redirige les appareils iOS vers un site d\u2019hame\u00e7onnage, et ex\u00e9cute le script de minage de cryptomonnaies CoinHive sur les ordinateurs de bureaux et les ordinateurs portables. Il r\u00e9alise ces attaques \u00e0 travers le d\u00e9tournement de param\u00e8tres DNS. Par cons\u00e9quent, les utilisateurs vis\u00e9s peuvent difficilement d\u00e9tecter que quelque chose va mal.<\/p>\n

Qu\u2019est-ce que le d\u00e9tournement de param\u00e8tres DNS\u00a0?<\/h3>\n

Lorsque vous saisissez le nom d\u2019un site dans la barre d\u2019adresse du navigateur, ce dernier n\u2019envoie pas r\u00e9ellement une demande au site\u00a0; tout simplement parce qu\u2019il ne peut pas. Internet utilise des adresses IP, qui sont des s\u00e9ries de chiffres, alors que les noms de domaine, avec des lettres, sont pour les utilisateurs. Il est ainsi plus facile de s\u2019en rappeler et de les saisir.<\/p>\n

La premi\u00e8re chose qu\u2019un navigateur fait lorsque vous saisissez une URL, est d\u2019envoyer une demande \u00e0 ce que nous appelons un serveur DNS (Syst\u00e8me de Noms de Domaine)<\/a> qui traduit le nom \u00ab\u00a0humain\u00a0\u00bb en l\u2019adresse IP du site internet correspondant. Le navigateur utilise cette adresse IP pour localiser et ouvrir le site.<\/p>\n

Le d\u00e9tournement de param\u00e8tres DNS est une technique utilis\u00e9e pour tromper le navigateur, et lui faire croire qu\u2019il a trouv\u00e9 le nom du domaine qui correspond \u00e0 la bonne adresse IP alors que ce n\u2019est pas le cas. M\u00eame si l\u2019adresse IP est incorrecte, l\u2019URL d\u2019origine saisie par l\u2019utilisateur est affich\u00e9e dans la barre d\u2019adresse du navigateur, donc tout semble normal.<\/p>\n

Il existe de nombreuses techniques pour d\u00e9tourner les param\u00e8tres DNS, mais les cr\u00e9ateurs de Roaming Mantis ont peut-\u00eatre choisi la plus simple et la plus efficace. Ils piratent les param\u00e8tres des routeurs compromis, les obligeant ainsi \u00e0 utiliser leurs propres serveurs DNS malveillants. Cela signifie que peu importe ce que l\u2019utilisateur \u00e9crit dans la barre d\u2019adresse du navigateur d\u2019un appareil connect\u00e9 \u00e0 ce routeur, il est redirig\u00e9 vers un site malveillant.<\/p>\n

Roaming Mantis sur Android<\/h3>\n

Apr\u00e8s que l\u2019utilisateur ait \u00e9t\u00e9 redirig\u00e9 vers le site malveillant, on lui demande de mettre \u00e0 jour son navigateur. Il t\u00e9l\u00e9charge alors une application malveillante appel\u00e9e chrome.apk<\/strong>\u00a0; il y avait \u00e9galement une autre version appel\u00e9e facebook.apk<\/strong>.<\/p>\n

\"\"<\/p>\n

Pendant l\u2019installation, le malware demande \u00e0 l\u2019utilisateur d\u2019accepter toutes sortes d\u2019autorisations<\/a>, dont les droits pour acc\u00e9der aux informations sur les comptes, envoyer\/recevoir des SMS, r\u00e9aliser des appels vocaux, enregistrer des fichiers audios, acc\u00e9der aux fichiers, afficher en priorit\u00e9 ses propres fen\u00eatres, et ainsi de suite. Pour une application de confiance comme Google Chrome, il ne semble pas vraiment suspect d\u2019avoir une liste similaire. Si l\u2019utilisateur pense que cette \u00ab\u00a0mise \u00e0 jour du navigateur\u00a0\u00bb est l\u00e9gitime, les pirates informatiques sont certains d\u2019obtenir les autorisations sans que l\u2019utilisateur ne lise la liste.<\/p>\n

Apr\u00e8s que l\u2019application ait \u00e9t\u00e9 install\u00e9e, le malware utilise cette autorisation pour acc\u00e9der \u00e0 la liste des comptes, et d\u00e9couvrir quel compte Google est utilis\u00e9 sur cet appareil. Ensuite, l\u2019utilisateur voit un message, qui appara\u00eet au-dessus de toutes les autres fen\u00eatres, puisque le malware a \u00e9galement demand\u00e9 la permission de le faire, qui indique qu\u2019il y a un probl\u00e8me avec le compte et que l\u2019utilisateur doit se connecter \u00e0 nouveau. Une page s\u2019ouvre alors et invite l\u2019utilisateur \u00e0 saisir son nom et sa date de naissance.<\/p>\n

\"\"<\/p>\n

Il semble que ces donn\u00e9es, associ\u00e9es aux autorisations par SMS qui donnent acc\u00e8s aux codes \u00e0 usage unique n\u00e9cessaires pour l\u2019authentification \u00e0 deux facteurs, sont ensuite utilis\u00e9es par les cr\u00e9ateurs de Roaming Mantis pour voler les comptes Google.<\/p>\n

Roaming Mantis: tour du monde, d\u00e9buts sur iOS, et minage<\/h3>\n

Au d\u00e9but, Roaming Mantis pouvait afficher les messages dans quatre langues\u00a0: anglais, cor\u00e9en, chinois et japonais. \u00c0 un moment donn\u00e9, les cr\u00e9ateurs ont d\u00e9cid\u00e9 de s\u2019\u00e9tendre et d\u2019enseigner \u00e0 leur malware polyglotte deux douzaines de langues suppl\u00e9mentaires\u00a0:<\/p>\n