Le 16 avril dernier, l'entreprise Kasperky Lab annonçait sa découverte d'un nouveau malware Android appelé Roaming Mantis. Diffusé à l'aide de manipulations du DNS et visant, à l'époque, principalement les smartphones présents sur le continent asiatique, c'est à l'aide d'un communiqué de presse que Kaspersky évoque maintenant l'inquiétante évolution du malware qui serait désormais capable de se répandre au Moyen-Orient ainsi qu'en Europe.
Les appareils iOS sont aussi menacés
En plus de cet élargissement du ciblage géographique, le malware semblerait s'être également doté de nouvelles « capacités », à savoir une option de phishing pour les appareils tournants sous iOS, ainsi qu'une aptitude au minage de cryptomonnaie.Les chercheurs de Kaspersky Lab soupçonnent un groupe cybercriminel coréen ou chinois de se cacher derrière cette campagne malveillante destinée à donner aux pirates le contrôle total de tous les appareils que leur malware infecte.
Attention aux routeurs vulnérables
Afin d'infecter de nouveaux smartphones, la méthodologie utilisée par les cybercriminels est plutôt astucieuse. Ainsi, l'enquête réalisée par les chercheurs de Kaspersky révélerait que les pirates se cachant derrière le programme malveillant seraient à la recherche de routeurs vulnérables à pirater qui leur serviraient par la suite à propager leur malware via une manipulation des paramètres DNS.
Bien que la méthode avec laquelle les routeurs sont piratés soit encore inconnue, une fois le DNS modifié, toute tentative de connexion vers un site web depuis le smartphone infecté redirigerait l'utilisateur vers une copie parfaite du site qu'il souhaitait visiter, mais possédant un contenu entièrement falsifié. Le propriétaire du smartphone se verrait alors ensuite proposer le téléchargement de la dernière version de Google Chrome, version naturellement falsifiée qui comprendrait en fait un cheval de Troie nommé « chrome.apk » ou « facebook.apk », et qui servirait de porte d'entrée de l'attaque pour Android.
Une fois l'appareil entièrement infecté, Roaming Mantis vérifierait ensuite si le smartphone est rooté puis demanderait l'autorisation d'être notifié de toute communication ou activité de navigation effectuée par l'utilisateur. Il serait également capable de collecter diverses données personnelles, dont certaines permettant une identification à deux facteurs.
Selon Kaspersky, cette méthode d'infection ainsi qu'une partie du code avec lequel est bâti le programme, laissent penser que ces attaques ont une motivation financière.
