Attention à ce nouveau malware qui s'attaque aux utilisateurs d'Android et iOS en France

19 juillet 2022 à 11h52
11
mante botnet © Pexels Quang Nguyen Vinh
© Pexels Quang Nguyen Vinh

Plusieurs spécialistes cyber alertent sur Mantis, la mante, qui serait le botnet le plus puissant connu à ce jour. Il viserait, notamment, des utilisateurs Android et iOS basés en France.

Le mois dernier, le fournisseur de contenu Cloudflare avait enregistré la plus grande attaque DDoS de son histoire. Derrière elle, on retrouve le botnet Mantis, capable alors de générer une attaque de, accrochez-vous bien, 26 millions de requêtes par seconde. Et tout ça en utilisant la bagatelle de 5 000 bots uniquement. Après avoir frappé certains de nos voisins ou puissances, voilà qu'il s'attaque aux utilisateurs d'Android et iOS français, par le biais d'attaques de phishing et de malwares.

Cette mante-là n'est pas jolie : elle est destructrice

Le botnet Mantis est étudié de près par des acteurs du numérique et de la cyber tels que Cloudflare ou Sekoia. Près d'un millier de clients Cloudflare ont par exemple été touchés par ce nouveau réseau de bots qui pourrait bien être le digne descendant de Meris. Des milliers de machines ont en tout cas été compromises. Plus qu'une simple mante, Mantis pourrait même davantage être comparée à la crevette Mantis : à la fois petite, mais puissante.

S'il n'exploite qu'une flotte de 5 000 appareils, Mantis peut générer une force massive, et devenir responsable des attaques DDOS par requêtes HTTPS les plus puissantes jamais observées. « On observe qu'il est difficile de générer autant de requêtes HTTP sans frais supplémentaires, mais Mantis l'a fait par HTTPS », confirme Cloudflare.

Les attaques DDoS HTTPS nécessitent plus de ressources de calcul, à cause notamment du coût plus élevé de l'établissement d'une connexion chiffrée TLS sécurisée. « Cela met en évidence la force unique derrière ce botnet », ajoute l'entreprise américaine.

Les utilisateurs français Android et iOS pas épargnés par Mantis

Contrairement aux botnets plus traditionnels, qui transitent via des objets connectés à faible bande passante, Mantis exploite, lui, des machines virtuelles et des serveurs puissants. Chaque bot dispose donc de ressources de calcul bien plus importantes. Sans conteste, Mantis est la prochaine évolution du botnet Meris, qui s'appuyait sur des appareils MikroTik (qui fabrique notamment des routeurs).

chaine d'attaque Mantis © Sekoia
La chaîne d'attaque de Mantis (© Sekoia)

Alors, que fait Mantis ? Sekoia explique que le groupe derrière le botnet dépose, sur les appareils Android, la charge utile XLoader, connue pour être un logiciel espion Android et un cheval de Troie bancaire développé par Yanbian Gang, un groupe de cybercriminels chinois. XLoader peut aussi bien passer par l'usurpation de DNS pour distribuer des applications Android infectées (pour collecter des informations personnelles et financières) qu'utiliser la communication par SMS pour inciter les utilisateurs à télécharger des malwares sur leur appareil Android. D'ailleurs, même la cible utilisant un appareil iOS peut tomber dans le piège, en étant redirigée vers une page de phishing pour s'emparer de ses identifiants Apple.

page phishing apple © Sekoia
Exemple d'une page de phishing Apple utilisée par Mantis (© Sekoia)

Le secteur global des télécoms et d'Internet est le plus touché par Mantis, avec 36 % des attaques. Les médias, les éditeurs de jeux vidéo et la finance suivent. Quant aux cibles d'un point de vue géographique, 20 % des attaques DDoS concerneraient des entreprises basées aux États-Unis, 15 % en Russie, et moins de 5 % en Turquie, en Pologne, en Ukraine et en France. Taïwan, le Royaume-Uni, la Corée du Sud et le Japon sont aussi touchés.

Mantis cibles © Cloudflare
Les pays ciblés par Mantis (© Cloudflare)

En France, Mantis peut se manifester par un SMS envoyé, vous incitant à suivre une URL. Cela peut par exemple porter sur un colis qui vous a soi-disant été envoyé et qui a besoin de vous pour organiser sa bonne livraison. Si la victime potentielle utilise iOS, elle est alors redirigée, comme nous le disions, vers une page de phishing qui dérobe les identifiants. Les utilisateurs Android, eux, sont dirigés vers un site qui fournit le fichier d'installation d'une application mobile.

chaîne IP Mantis © Sekoia
Décryptage de la chaîne permettant de dériver l'adresse IP finale (© Sekoia)

L'APK exécute et imite alors une installation Chrome qui vient vous demander des autorisations multiples sur votre appareil (SMS, appels, lecture et écriture de stockage, etc.). Des dizaines de milliers de personnes pourraient déjà avoir été piégées, indique Sekoia.

Source : Cloudflare, Sekoia

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
11
userresu
J’ai reçu un de ces SMS hier ; étrangement pile dans la fenêtre de livraison de ma dernière commande Amazon…<br /> Bien sûr je n’ai pas cliqué sur le lien ; j’ai supprimé le SMS et bloqué le numéro mais bien des personnes n’auront pas cette vigilance
AlexLex14
Et tu as bien fait. Il ne faut pas se poser de questions dans ces cas-là.<br /> Comme tu dis, beaucoup n’auront hélas pas le réflexe que tu as eu
mrassol
ah tiens, moi aussi j’ai recu ca.
Popoulo
« qui s’appuyait sur des appareils MirokTik » : C’est pas MikroTiK dont il est question par hasard ?
Yorgmald
N’empêche, étrangement, à chaque fois que je dois recevoir un colis je reçois aussi des mails ou sms faux qui voudraient me faire croire que je dois réaliser une action pour réceptionner mon colis.<br /> Je me demande à un moment si les services de livraisons ne sont pas aussi coupable quelque part vu l’étrangeté de la chose.
Kaysis
Plus que les services de livraison ce serait les services de messageries en ligne (gratuite ou non) qui auraient des choses à se reprocher.
jobinseb
Pour être encore plus efficaces, vous pouvez signaler la tentative d’hameçonnage à l’état pour qu’ils fassent fermer la ligne téléphonique à l’origine de l’envoi du SMS en leur transférant au numéro 33700.<br /> La procédure est ultra simple :<br /> transférer le SMS malveillant au 33700<br /> Vous recevez un accusé de réception et il vous est demandé de renvoyer désormais le numéro de téléphone à l’origine de l’envoi<br /> Envoyez le numéro de téléphone au 33700<br /> Nouvel accusé de réception indiquant la fin de la procédure<br /> Bloquez le numéro chez vous<br /> Supprimez le SMS<br />
EricBD
Idem, hier j’attendais un DHL et j’ai reçu un message me demandant de payer des frais de douanes. Comme mon colis venait de France cherchez l’erreur…
Lartist35
J’ai déjà transmis plusieurs fois un SMS douteux au 33700.<br /> Si la première fois (il y a au moins 6 mois) j’ai reçu l’accusé de réception, depuis je n’en n’ai pas reçu à chaque transmission. Est-ce parce que le SMS a déjà été signalé ?
Muggsy68
Ouai mais quand ce n’est pas un numéro mais des lettres qui s’affichent, ils s’en sortent comment ?
promeneur001
Ces derniers mois, j’en ai eu plusieurs de ces spams.<br /> Dans l’app « message » de Google il y a une option « bloquer et signaler comme spam »
jobinseb
Pareil c’est déjà arrivé que je n’ai pas le second SMS pour donner le numéro. Je ne sais pas pourquoi. Au pire ça fait quelques cas qui ne sont pas signalés jusqu’au bout, mais c’est un moindre mal.
jobinseb
Je ne sais pas s’ils ignorent carrément les déclarations qui donnent des noms ou s’ils arrivent à faire la résolution de nom. Au pire ça ne fait que quelques cas qui ne sont pas concluants.
Voir tous les messages sur le forum

Derniers actualités

Très belle remise sur cette barre de son et son caisson de basse
Ford teste une nouvelle technologie de feux avant révolutionnaire
pCloud propose des réductions à couper le souffle sur ses solutions de stockage en ligne (-80%)
Pour la rentrée, cet écran gamer Samsung Odyssey G5 32 pouces est à prix fou !
Sony travaillerait sur un launcher PlayStation pour PC
Vous pouvez maintenant essayer Spotify gratuitement pendant 3 mois
Un smartphone dans sa version Pro à moins de 200€ ça vous intéresse ?
Ryzen 7000 : AMD confirme la présentation officielle de ses CPU le 30 août prochain
Combien de temps faut-il pour pirater une carte bancaire ?
Signal : des numéros de téléphone d'utilisateurs dans la nature (et ce n'est pas la faute de l'app)
Haut de page