Il y a peu de temps, nos experts ont étudié un malware qu’ils ont surnommé Roaming Mantis. À ce moment-là, les utilisateurs visés vivaient principalement au Japon, en Corée, en Chine, en Inde et au Bangladesh. Cette menace semblait être locale, et c’est pourquoi nous n’avions pas parlé du malware pour d’autres régions.
Cependant, depuis la date de publication de notre rapport, Roaming Mantis a appris à parler deux douzaines de langues supplémentaires, et s’est rapidement propagé dans le monde.
Le malware utilise des routeurs compromis pour infecter les smartphones et tablettes qui utilisent Android, redirige les appareils iOS vers un site d’hameçonnage, et exécute le script de minage de cryptomonnaies CoinHive sur les ordinateurs de bureaux et les ordinateurs portables. Il réalise ces attaques à travers le détournement de paramètres DNS. Par conséquent, les utilisateurs visés peuvent difficilement détecter que quelque chose va mal.
Qu’est-ce que le détournement de paramètres DNS ?
Lorsque vous saisissez le nom d’un site dans la barre d’adresse du navigateur, ce dernier n’envoie pas réellement une demande au site ; tout simplement parce qu’il ne peut pas. Internet utilise des adresses IP, qui sont des séries de chiffres, alors que les noms de domaine, avec des lettres, sont pour les utilisateurs. Il est ainsi plus facile de s’en rappeler et de les saisir.
La première chose qu’un navigateur fait lorsque vous saisissez une URL, est d’envoyer une demande à ce que nous appelons un serveur DNS (Système de Noms de Domaine) qui traduit le nom « humain » en l’adresse IP du site internet correspondant. Le navigateur utilise cette adresse IP pour localiser et ouvrir le site.
Le détournement de paramètres DNS est une technique utilisée pour tromper le navigateur, et lui faire croire qu’il a trouvé le nom du domaine qui correspond à la bonne adresse IP alors que ce n’est pas le cas. Même si l’adresse IP est incorrecte, l’URL d’origine saisie par l’utilisateur est affichée dans la barre d’adresse du navigateur, donc tout semble normal.
Il existe de nombreuses techniques pour détourner les paramètres DNS, mais les créateurs de Roaming Mantis ont peut-être choisi la plus simple et la plus efficace. Ils piratent les paramètres des routeurs compromis, les obligeant ainsi à utiliser leurs propres serveurs DNS malveillants. Cela signifie que peu importe ce que l’utilisateur écrit dans la barre d’adresse du navigateur d’un appareil connecté à ce routeur, il est redirigé vers un site malveillant.
Roaming Mantis sur Android
Après que l’utilisateur ait été redirigé vers le site malveillant, on lui demande de mettre à jour son navigateur. Il télécharge alors une application malveillante appelée chrome.apk ; il y avait également une autre version appelée facebook.apk.
Pendant l’installation, le malware demande à l’utilisateur d’accepter toutes sortes d’autorisations, dont les droits pour accéder aux informations sur les comptes, envoyer/recevoir des SMS, réaliser des appels vocaux, enregistrer des fichiers audios, accéder aux fichiers, afficher en priorité ses propres fenêtres, et ainsi de suite. Pour une application de confiance comme Google Chrome, il ne semble pas vraiment suspect d’avoir une liste similaire. Si l’utilisateur pense que cette « mise à jour du navigateur » est légitime, les pirates informatiques sont certains d’obtenir les autorisations sans que l’utilisateur ne lise la liste.
Après que l’application ait été installée, le malware utilise cette autorisation pour accéder à la liste des comptes, et découvrir quel compte Google est utilisé sur cet appareil. Ensuite, l’utilisateur voit un message, qui apparaît au-dessus de toutes les autres fenêtres, puisque le malware a également demandé la permission de le faire, qui indique qu’il y a un problème avec le compte et que l’utilisateur doit se connecter à nouveau. Une page s’ouvre alors et invite l’utilisateur à saisir son nom et sa date de naissance.
Il semble que ces données, associées aux autorisations par SMS qui donnent accès aux codes à usage unique nécessaires pour l’authentification à deux facteurs, sont ensuite utilisées par les créateurs de Roaming Mantis pour voler les comptes Google.
Roaming Mantis: tour du monde, débuts sur iOS, et minage
Au début, Roaming Mantis pouvait afficher les messages dans quatre langues : anglais, coréen, chinois et japonais. À un moment donné, les créateurs ont décidé de s’étendre et d’enseigner à leur malware polyglotte deux douzaines de langues supplémentaires :
- Arabe
- Arménien
- Bengali
- Bulgare
- Tchèque
- Géorgien
- Allemand
- Hébreu
- Hindi
- Indonésien
- Italien
- Malais
- Polonais
- Portugais
- Russe
- Serbo-croate
- Espagnol
- Tagalog
- Thaï
- Turc
- Ukrainien
- Vietnamien
Tant qu’ils y étaient, les créateurs ont aussi amélioré Roaming Mantis en enseignant au malware comment attaquer les appareils qui s’exécutent sous iOS. Le scénario est différent de celui d’Android. Il ne télécharge pas d’application, mais un site malveillant affiche une page d’hameçonnage qui invite l’utilisateur à se connecter tout de suite à l’App Store. Pour ajouter de la crédibilité, la barre d’adresse montre cette adresse rassurante : security.apple.com.
Les criminels informatiques ne se limitent pas à voler les identifiants Apple. Juste après avoir saisi ces données, l’utilisateur est invité à fournir un numéro de carte bancaire.
La troisième innovation que nos experts ont découverte, est liée aux ordinateurs de bureau et aux ordinateurs portables. Pour ces appareils, Roaming Mantis exécute le script de minage CoinHive, qui mine de la cryptomonnaie que les créateurs du malware reçoivent directement. Le processeur de l’ordinateur de la victime est chargé au maximum, ce qui oblige le système à ralentir et à consommer une grande quantité d’énergie.
Vous pouvez trouver plus de détails sur Roaming Mantis dans le rapport initial, et dans l’article récemment publié sur Securelist dont les informations sur le malware ont été mises à jour.
Comment se protéger de Roaming Mantis
- Utilisez des antivirus sur tous vos dispositifs. Pas seulement sur les ordinateurs de bureau et ordinateurs portables, mais aussi sur vos smartphones et tablettes.
- Mettez régulièrement à jour les logiciels installés sur vos appareils.
- Pour les appareils Android, désactivez l’installation d’applications provenant de sources inconnues. Pour ce faire, entrez dans Paramètres -> Sécurité -> Sources inconnues.
- Le micrologiciel du routeur devrait être mis à jour aussi souvent que possible. N’utilisez pas un micrologiciel non officiel téléchargé sur des sites suspects.
- Modifiez toujours le mot de passe administrateur par défaut du routeur.
Que faire si vous êtes infecté par Roaming Mantis
- Changez immédiatement tous les mots de passe des comptes compromis par le malware. Annulez toutes les cartes bancaires dont vous avez saisi les détails sur le site d’hameçonnage de Roaming Mantis.
- Installez un antivirus sur tous les appareils, et exécutez une analyse du système.
- Parcourez les paramètres de votre routeur et vérifiez l’adresse du serveur DNS. Si elle ne correspond pas à celle indiquée par votre fournisseur, changez-la et saisissez de nouveau la bonne adresse.
- Changez le mot de passe administrateur du routeur et mettez à jour le micrologiciel. Lorsque vous faites cela, assurez-vous que vous l’avez téléchargé depuis le site officiel du fabricant du routeur.