Attention à ce nouveau malware qui s'attaque aux utilisateurs d'Android et iOS en France

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 19 juillet 2022 à 11h52

Plusieurs spécialistes cyber alertent sur Mantis, la mante, qui serait le botnet le plus puissant connu à ce jour. Il viserait, notamment, des utilisateurs Android et iOS basés en France.

Le mois dernier, le fournisseur de contenu Cloudflare avait enregistré la plus grande attaque DDoS de son histoire. Derrière elle, on retrouve le botnet Mantis, capable alors de générer une attaque de, accrochez-vous bien, 26 millions de requêtes par seconde. Et tout ça en utilisant la bagatelle de 5 000 bots uniquement. Après avoir frappé certains de nos voisins ou puissances, voilà qu'il s'attaque aux utilisateurs d'Android et iOS français, par le biais d'attaques de phishing et de malwares.

Cette mante-là n'est pas jolie : elle est destructrice

Le botnet Mantis est étudié de près par des acteurs du numérique et de la cyber tels que Cloudflare ou Sekoia. Près d'un millier de clients Cloudflare ont par exemple été touchés par ce nouveau réseau de bots qui pourrait bien être le digne descendant de Meris. Des milliers de machines ont en tout cas été compromises. Plus qu'une simple mante, Mantis pourrait même davantage être comparée à la crevette Mantis : à la fois petite, mais puissante.

S'il n'exploite qu'une flotte de 5 000 appareils, Mantis peut générer une force massive, et devenir responsable des attaques DDOS par requêtes HTTPS les plus puissantes jamais observées. « On observe qu'il est difficile de générer autant de requêtes HTTP sans frais supplémentaires, mais Mantis l'a fait par HTTPS », confirme Cloudflare.

Les attaques DDoS HTTPS nécessitent plus de ressources de calcul, à cause notamment du coût plus élevé de l'établissement d'une connexion chiffrée TLS sécurisée. « Cela met en évidence la force unique derrière ce botnet », ajoute l'entreprise américaine.

Les utilisateurs français Android et iOS pas épargnés par Mantis

Contrairement aux botnets plus traditionnels, qui transitent via des objets connectés à faible bande passante, Mantis exploite, lui, des machines virtuelles et des serveurs puissants. Chaque bot dispose donc de ressources de calcul bien plus importantes. Sans conteste, Mantis est la prochaine évolution du botnet Meris, qui s'appuyait sur des appareils MikroTik (qui fabrique notamment des routeurs).

La chaîne d'attaque de Mantis (© Sekoia)

Alors, que fait Mantis ? Sekoia explique que le groupe derrière le botnet dépose, sur les appareils Android, la charge utile XLoader, connue pour être un logiciel espion Android et un cheval de Troie bancaire développé par Yanbian Gang, un groupe de cybercriminels chinois. XLoader peut aussi bien passer par l'usurpation de DNS pour distribuer des applications Android infectées (pour collecter des informations personnelles et financières) qu'utiliser la communication par SMS pour inciter les utilisateurs à télécharger des malwares sur leur appareil Android. D'ailleurs, même la cible utilisant un appareil iOS peut tomber dans le piège, en étant redirigée vers une page de phishing pour s'emparer de ses identifiants Apple.

Exemple d'une page de phishing Apple utilisée par Mantis (© Sekoia)

Le secteur global des télécoms et d'Internet est le plus touché par Mantis, avec 36 % des attaques. Les médias, les éditeurs de jeux vidéo et la finance suivent. Quant aux cibles d'un point de vue géographique, 20 % des attaques DDoS concerneraient des entreprises basées aux États-Unis, 15 % en Russie, et moins de 5 % en Turquie, en Pologne, en Ukraine et en France. Taïwan, le Royaume-Uni, la Corée du Sud et le Japon sont aussi touchés.

Les pays ciblés par Mantis (© Cloudflare)

En France, Mantis peut se manifester par un SMS envoyé, vous incitant à suivre une URL. Cela peut par exemple porter sur un colis qui vous a soi-disant été envoyé et qui a besoin de vous pour organiser sa bonne livraison. Si la victime potentielle utilise iOS, elle est alors redirigée, comme nous le disions, vers une page de phishing qui dérobe les identifiants. Les utilisateurs Android, eux, sont dirigés vers un site qui fournit le fichier d'installation d'une application mobile.

Décryptage de la chaîne permettant de dériver l'adresse IP finale (© Sekoia)

L'APK exécute et imite alors une installation Chrome qui vient vous demander des autorisations multiples sur votre appareil (SMS, appels, lecture et écriture de stockage, etc.). Des dizaines de milliers de personnes pourraient déjà avoir été piégées, indique Sekoia.

Source : Cloudflare, Sekoia

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

userresu

J’ai reçu un de ces SMS hier ; étrangement pile dans la fenêtre de livraison de ma dernière commande Amazon…
Bien sûr je n’ai pas cliqué sur le lien ; j’ai supprimé le SMS et bloqué le numéro mais bien des personnes n’auront pas cette vigilance

AlexLex14

Et tu as bien fait. Il ne faut pas se poser de questions dans ces cas-là.

Comme tu dis, beaucoup n’auront hélas pas le réflexe que tu as eu

mrassol

ah tiens, moi aussi j’ai recu ca.

Popoulo

« qui s’appuyait sur des appareils MirokTik » : C’est pas MikroTiK dont il est question par hasard ?

Yorgmald

N’empêche, étrangement, à chaque fois que je dois recevoir un colis je reçois aussi des mails ou sms faux qui voudraient me faire croire que je dois réaliser une action pour réceptionner mon colis.
Je me demande à un moment si les services de livraisons ne sont pas aussi coupable quelque part vu l’étrangeté de la chose.

Kaysis

Plus que les services de livraison ce serait les services de messageries en ligne (gratuite ou non) qui auraient des choses à se reprocher.

jobinseb

Pour être encore plus efficaces, vous pouvez signaler la tentative d’hameçonnage à l’état pour qu’ils fassent fermer la ligne téléphonique à l’origine de l’envoi du SMS en leur transférant au numéro 33700.
La procédure est ultra simple :

transférer le SMS malveillant au 33700
Vous recevez un accusé de réception et il vous est demandé de renvoyer désormais le numéro de téléphone à l’origine de l’envoi
Envoyez le numéro de téléphone au 33700
Nouvel accusé de réception indiquant la fin de la procédure
Bloquez le numéro chez vous
Supprimez le SMS

EricBD

Idem, hier j’attendais un DHL et j’ai reçu un message me demandant de payer des frais de douanes. Comme mon colis venait de France cherchez l’erreur…

Lartist35

J’ai déjà transmis plusieurs fois un SMS douteux au 33700.
Si la première fois (il y a au moins 6 mois) j’ai reçu l’accusé de réception, depuis je n’en n’ai pas reçu à chaque transmission. Est-ce parce que le SMS a déjà été signalé ?

Muggsy68

Ouai mais quand ce n’est pas un numéro mais des lettres qui s’affichent, ils s’en sortent comment ?