Les campagnes de menaces mobiles sont suivies comme L’errance des sauterelles a été liée à une nouvelle vague de compromis visant les utilisateurs mobiles français, des mois après avoir étendu son ciblage aux pays européens.

Pas moins de 70 000 appareils Android auraient été infectés dans le cadre d’une opération de malware active, a déclaré Sekoia dans un rapport publié la semaine dernière.

La chaîne d’attaques impliquant Roaming Mantis, un acteur menaçant chinois à motivation financière, est connue pour déployer un cheval de Troie bancaire appelé MoqHao (alias XLoader) ou rediriger les utilisateurs d’iPhone vers une page de destination de récupération d’informations d’identification qui imite la page de connexion iCloud.

« MoqHao (alias Wroba, XLoader pour Android) est un cheval de Troie d’accès à distance Android (RAT) avec des capacités de vol d’informations et de porte dérobée qui est susceptible de se propager par SMS », ont déclaré les chercheurs de Sekoia. a dit.

Tout a commencé avec le phishing par SMS, une technique connue sous le nom de smishing, attirant les utilisateurs avec un message sur le thème de la livraison de colis contenant un lien malveillant, qui, lorsqu’il est cliqué, procède au téléchargement du fichier APK malveillant, mais seulement après avoir déterminé si l’emplacement de la victime est en français. . frontière.

Si le destinataire est hors de France et que le système d’exploitation de l’appareil n’est pas Android ou iOS – facteur confirmé par la vérification de l’adresse IP et Agent utilisateur string – le serveur est conçu pour répondre avec « 404 introuvable« Code d’état.

« Par conséquent, la campagne de smishing est géo-clôturée et vise à installer des logiciels malveillants Android ou à collecter des informations d’identification Apple iCloud », soulignent les chercheurs.

MoqHao utilise généralement domaine généré via le service DNS dynamique Duck DNS pour l’infrastructure de livraison de première étape. De plus, l’application malveillante se déguise en application de navigateur Web Chrome pour inciter les utilisateurs à accorder des autorisations invasives.

Le cheval de Troie de logiciels espions, en utilisant cette autorisation, fournit une voie d’interaction à distance avec l’appareil infecté, permettant à l’adversaire de récolter secrètement des données sensibles telles que les données iCloud, les listes de contacts, l’historique des appels, les messages SMS, etc.

Sekoia a également évalué que les données collectées pourraient être utilisées pour faciliter des programmes d’extorsion ou même être vendues à d’autres acteurs de la menace à des fins lucratives. « Plus de 90 000 adresses IP uniques […] a demandé au serveur C2 de distribuer MoqHao », ont écrit les chercheurs.