Plusieurs spécialistes cyber alertent sur Mantis, la mante, qui serait le botnet le plus puissant connu à ce jour. Il viserait, notamment, des utilisateurs Android et iOS basés en France.
Le mois dernier, le fournisseur de contenu Cloudflare avait enregistré la plus grande attaque DDoS de son histoire. Derrière elle, on retrouve le botnet Mantis, capable alors de générer une attaque de, accrochez-vous bien, 26 millions de requêtes par seconde. Et tout ça en utilisant la bagatelle de 5 000 bots uniquement. Après avoir frappé certains de nos voisins ou puissances, voilà qu'il s'attaque aux utilisateurs d'Android et iOS français, par le biais d'attaques de phishing et de malwares.
Cette mante-là n'est pas jolie : elle est destructrice
Le botnet Mantis est étudié de près par des acteurs du numérique et de la cyber tels que Cloudflare ou Sekoia. Près d'un millier de clients Cloudflare ont par exemple été touchés par ce nouveau réseau de bots qui pourrait bien être le digne descendant de Meris. Des milliers de machines ont en tout cas été compromises. Plus qu'une simple mante, Mantis pourrait même davantage être comparée à la crevette Mantis : à la fois petite, mais puissante.
S'il n'exploite qu'une flotte de 5 000 appareils, Mantis peut générer une force massive, et devenir responsable des attaques DDOS par requêtes HTTPS les plus puissantes jamais observées. « On observe qu'il est difficile de générer autant de requêtes HTTP sans frais supplémentaires, mais Mantis l'a fait par HTTPS », confirme Cloudflare.
Les attaques DDoS HTTPS nécessitent plus de ressources de calcul, à cause notamment du coût plus élevé de l'établissement d'une connexion chiffrée TLS sécurisée. « Cela met en évidence la force unique derrière ce botnet », ajoute l'entreprise américaine.
Les utilisateurs français Android et iOS pas épargnés par Mantis
Contrairement aux botnets plus traditionnels, qui transitent via des objets connectés à faible bande passante, Mantis exploite, lui, des machines virtuelles et des serveurs puissants. Chaque bot dispose donc de ressources de calcul bien plus importantes. Sans conteste, Mantis est la prochaine évolution du botnet Meris, qui s'appuyait sur des appareils MikroTik (qui fabrique notamment des routeurs).
Alors, que fait Mantis ? Sekoia explique que le groupe derrière le botnet dépose, sur les appareils Android, la charge utile XLoader, connue pour être un logiciel espion Android et un cheval de Troie bancaire développé par Yanbian Gang, un groupe de cybercriminels chinois. XLoader peut aussi bien passer par l'usurpation de DNS pour distribuer des applications Android infectées (pour collecter des informations personnelles et financières) qu'utiliser la communication par SMS pour inciter les utilisateurs à télécharger des malwares sur leur appareil Android. D'ailleurs, même la cible utilisant un appareil iOS peut tomber dans le piège, en étant redirigée vers une page de phishing pour s'emparer de ses identifiants Apple.
Le secteur global des télécoms et d'Internet est le plus touché par Mantis, avec 36 % des attaques. Les médias, les éditeurs de jeux vidéo et la finance suivent. Quant aux cibles d'un point de vue géographique, 20 % des attaques DDoS concerneraient des entreprises basées aux États-Unis, 15 % en Russie, et moins de 5 % en Turquie, en Pologne, en Ukraine et en France. Taïwan, le Royaume-Uni, la Corée du Sud et le Japon sont aussi touchés.
En France, Mantis peut se manifester par un SMS envoyé, vous incitant à suivre une URL. Cela peut par exemple porter sur un colis qui vous a soi-disant été envoyé et qui a besoin de vous pour organiser sa bonne livraison. Si la victime potentielle utilise iOS, elle est alors redirigée, comme nous le disions, vers une page de phishing qui dérobe les identifiants. Les utilisateurs Android, eux, sont dirigés vers un site qui fournit le fichier d'installation d'une application mobile.
L'APK exécute et imite alors une installation Chrome qui vient vous demander des autorisations multiples sur votre appareil (SMS, appels, lecture et écriture de stockage, etc.). Des dizaines de milliers de personnes pourraient déjà avoir été piégées, indique Sekoia.
Source : Cloudflare, Sekoia
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
