Attention à ce nouveau malware qui s'attaque aux utilisateurs d'Android et iOS en France

19 juillet 2022 à 11h52
11
mante botnet © Pexels Quang Nguyen Vinh
© Pexels Quang Nguyen Vinh

Plusieurs spécialistes cyber alertent sur Mantis, la mante, qui serait le botnet le plus puissant connu à ce jour. Il viserait, notamment, des utilisateurs Android et iOS basés en France.

Le mois dernier, le fournisseur de contenu Cloudflare avait enregistré la plus grande attaque DDoS de son histoire. Derrière elle, on retrouve le botnet Mantis, capable alors de générer une attaque de, accrochez-vous bien, 26 millions de requêtes par seconde. Et tout ça en utilisant la bagatelle de 5 000 bots uniquement. Après avoir frappé certains de nos voisins ou puissances, voilà qu'il s'attaque aux utilisateurs d'Android et iOS français, par le biais d'attaques de phishing et de malwares.

Cette mante-là n'est pas jolie : elle est destructrice

Le botnet Mantis est étudié de près par des acteurs du numérique et de la cyber tels que Cloudflare ou Sekoia. Près d'un millier de clients Cloudflare ont par exemple été touchés par ce nouveau réseau de bots qui pourrait bien être le digne descendant de Meris. Des milliers de machines ont en tout cas été compromises. Plus qu'une simple mante, Mantis pourrait même davantage être comparée à la crevette Mantis : à la fois petite, mais puissante.

S'il n'exploite qu'une flotte de 5 000 appareils, Mantis peut générer une force massive, et devenir responsable des attaques DDOS par requêtes HTTPS les plus puissantes jamais observées. « On observe qu'il est difficile de générer autant de requêtes HTTP sans frais supplémentaires, mais Mantis l'a fait par HTTPS », confirme Cloudflare.

Les attaques DDoS HTTPS nécessitent plus de ressources de calcul, à cause notamment du coût plus élevé de l'établissement d'une connexion chiffrée TLS sécurisée. « Cela met en évidence la force unique derrière ce botnet », ajoute l'entreprise américaine.

Les utilisateurs français Android et iOS pas épargnés par Mantis

Contrairement aux botnets plus traditionnels, qui transitent via des objets connectés à faible bande passante, Mantis exploite, lui, des machines virtuelles et des serveurs puissants. Chaque bot dispose donc de ressources de calcul bien plus importantes. Sans conteste, Mantis est la prochaine évolution du botnet Meris, qui s'appuyait sur des appareils MikroTik (qui fabrique notamment des routeurs).

chaine d'attaque Mantis © Sekoia
La chaîne d'attaque de Mantis (© Sekoia)

Alors, que fait Mantis ? Sekoia explique que le groupe derrière le botnet dépose, sur les appareils Android, la charge utile XLoader, connue pour être un logiciel espion Android et un cheval de Troie bancaire développé par Yanbian Gang, un groupe de cybercriminels chinois. XLoader peut aussi bien passer par l'usurpation de DNS pour distribuer des applications Android infectées (pour collecter des informations personnelles et financières) qu'utiliser la communication par SMS pour inciter les utilisateurs à télécharger des malwares sur leur appareil Android. D'ailleurs, même la cible utilisant un appareil iOS peut tomber dans le piège, en étant redirigée vers une page de phishing pour s'emparer de ses identifiants Apple.

page phishing apple © Sekoia
Exemple d'une page de phishing Apple utilisée par Mantis (© Sekoia)

Le secteur global des télécoms et d'Internet est le plus touché par Mantis, avec 36 % des attaques. Les médias, les éditeurs de jeux vidéo et la finance suivent. Quant aux cibles d'un point de vue géographique, 20 % des attaques DDoS concerneraient des entreprises basées aux États-Unis, 15 % en Russie, et moins de 5 % en Turquie, en Pologne, en Ukraine et en France. Taïwan, le Royaume-Uni, la Corée du Sud et le Japon sont aussi touchés.

Mantis cibles © Cloudflare
Les pays ciblés par Mantis (© Cloudflare)

En France, Mantis peut se manifester par un SMS envoyé, vous incitant à suivre une URL. Cela peut par exemple porter sur un colis qui vous a soi-disant été envoyé et qui a besoin de vous pour organiser sa bonne livraison. Si la victime potentielle utilise iOS, elle est alors redirigée, comme nous le disions, vers une page de phishing qui dérobe les identifiants. Les utilisateurs Android, eux, sont dirigés vers un site qui fournit le fichier d'installation d'une application mobile.

chaîne IP Mantis © Sekoia
Décryptage de la chaîne permettant de dériver l'adresse IP finale (© Sekoia)

L'APK exécute et imite alors une installation Chrome qui vient vous demander des autorisations multiples sur votre appareil (SMS, appels, lecture et écriture de stockage, etc.). Des dizaines de milliers de personnes pourraient déjà avoir été piégées, indique Sekoia.

Source : Cloudflare, Sekoia

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
11
userresu
J’ai reçu un de ces SMS hier ; étrangement pile dans la fenêtre de livraison de ma dernière commande Amazon…<br /> Bien sûr je n’ai pas cliqué sur le lien ; j’ai supprimé le SMS et bloqué le numéro mais bien des personnes n’auront pas cette vigilance
AlexLex14
Et tu as bien fait. Il ne faut pas se poser de questions dans ces cas-là.<br /> Comme tu dis, beaucoup n’auront hélas pas le réflexe que tu as eu
mrassol
ah tiens, moi aussi j’ai recu ca.
Popoulo
« qui s’appuyait sur des appareils MirokTik » : C’est pas MikroTiK dont il est question par hasard ?
Yorgmald
N’empêche, étrangement, à chaque fois que je dois recevoir un colis je reçois aussi des mails ou sms faux qui voudraient me faire croire que je dois réaliser une action pour réceptionner mon colis.<br /> Je me demande à un moment si les services de livraisons ne sont pas aussi coupable quelque part vu l’étrangeté de la chose.
Kaysis
Plus que les services de livraison ce serait les services de messageries en ligne (gratuite ou non) qui auraient des choses à se reprocher.
jobinseb
Pour être encore plus efficaces, vous pouvez signaler la tentative d’hameçonnage à l’état pour qu’ils fassent fermer la ligne téléphonique à l’origine de l’envoi du SMS en leur transférant au numéro 33700.<br /> La procédure est ultra simple :<br /> transférer le SMS malveillant au 33700<br /> Vous recevez un accusé de réception et il vous est demandé de renvoyer désormais le numéro de téléphone à l’origine de l’envoi<br /> Envoyez le numéro de téléphone au 33700<br /> Nouvel accusé de réception indiquant la fin de la procédure<br /> Bloquez le numéro chez vous<br /> Supprimez le SMS<br />
EricBD
Idem, hier j’attendais un DHL et j’ai reçu un message me demandant de payer des frais de douanes. Comme mon colis venait de France cherchez l’erreur…
Lartist35
J’ai déjà transmis plusieurs fois un SMS douteux au 33700.<br /> Si la première fois (il y a au moins 6 mois) j’ai reçu l’accusé de réception, depuis je n’en n’ai pas reçu à chaque transmission. Est-ce parce que le SMS a déjà été signalé ?
Muggsy68
Ouai mais quand ce n’est pas un numéro mais des lettres qui s’affichent, ils s’en sortent comment ?
promeneur001
Ces derniers mois, j’en ai eu plusieurs de ces spams.<br /> Dans l’app « message » de Google il y a une option « bloquer et signaler comme spam »
jobinseb
Pareil c’est déjà arrivé que je n’ai pas le second SMS pour donner le numéro. Je ne sais pas pourquoi. Au pire ça fait quelques cas qui ne sont pas signalés jusqu’au bout, mais c’est un moindre mal.
jobinseb
Je ne sais pas s’ils ignorent carrément les déclarations qui donnent des noms ou s’ils arrivent à faire la résolution de nom. Au pire ça ne fait que quelques cas qui ne sont pas concluants.
Voir tous les messages sur le forum

Derniers actualités

La mémoire Micron GDDR6X à 24 Gbps entre en production de masse
La DDR5-6000
Stadia permet à ses joueurs de streamer un jeu en petit comité
Cet ancien employé de Twitter espionnait les utilisateurs pour le compte de l'Arabie saoudite
Cyberharcèlement : en Europe, les parents protègent moins leurs enfants que dans le reste du monde
Apple déploie la 3e bêta publique d'iOS 16, d'iPadOS 16 et de macOS Ventura
Google veut faire de votre TV votre coach sportif
Taïwan a subi un pic de cybermenaces en marge de la visite de l'Américaine Nancy Pelosi
Ce vidéoprojecteur sera parfait pour vos soirées d'été !
Samsung annonce les Galaxy Watch 5 et ses Gala Buds 2 Pro
Haut de page