Traquer l'itinéranceMantis - La menace des services bancaires mobiles

Publié initialement le 1er avril 2020

Partons à la chasse aux menaces sur Censys! Dans ce cas-ci, nous sommes à la recherche de RoamingMantis, une menace bancaire mobile qui affecte les utilisateurs en modifiant les paramètres DNS locaux afin d'abuser davantage des terminaux. Les logiciels malveillants de type "DNS Changer" ne sont pas nouveaux, mais RoamingMantis est un nouveau vecteur de diffusion.

Via un tweet d'un chercheur japonais @ninoseki, j'ai commencé par regarder le C2 et chercher des signes de quelque chose d'unique à cet endroit. Il n'y a pas grand-chose à faire, c'est plutôt spartiate et tout. La recherche de quelques éléments uniques sur Censys n'a rien donné.

Lorsque nous examinons cette adresse IP sur Censys, nous constatons toutefois que la page a quelque chose d'unique. À première vue, elle ressemble au site de l'USPS (US Postal Service), mais on tombe ensuite sur cet extrait de JavaScript.

Bingo - il prend l'empreinte de l'appareil via la chaîne user-agent et recherche un appareil mobile. S'il en trouve un, il tente de charger un APK.

Lorsque nous recherchons cette chaîne - celle qui charge le fichier "post.apk" - nous trouvons quelques hôtes, y compris notre hôte d'origine 216.198.66.107. En utilisant un site tiers pour l'historique des DN passifs, nous pouvons également voir quels URL et noms de domaine ont été résolus à ces adresses IP.

Le site AlienVault OTX - une plateforme communautaire de renseignements sur les menaces - fournit des informations détaillées sur ces adresses IP, y compris les noms et les URL :

• https://otx.alienvault.com/indicator/ip/216.198.66.107
• https://otx.alienvault.com/indicator/ip/192.161.165.201
• https://otx.alienvault.com/indicator/ip/173.82.133.93

Nous pouvons ainsi compléter les rapports de renseignements sur les menaces en effectuant des recherches et des enquêtes de notre côté, puis en utilisant des moteurs de recherche tels que Censys et d'autres pour compléter nos connaissances et créer nos propres renseignements sur les menaces.

Références supplémentaires :

1. Mantes itinérantes, partie V, SecureList 27 Feb 2020
2. Mante itinérante du New Jersey Cyber
3. Des centaines de personnes ont été visées par la récente campagne des mantes itinérantes (Roaming Mantis ) de SecurityWeek
4. La mante itinérante essaime dans le monde entier, engendrant le phishing iOS et le cryptomining de ThreatPost
5. Rencontre avec la mante itinérante, la menace la plus répandue au monde en matière de logiciels malveillants pour smartphones from BW World Online
6. Le logiciel malveillant Android "Roaming Mantis" évolue et élargit ses cibles (Dark Reading)
7. La campagne de redirection malveillante Roaming Mantis s'attaque aux utilisateurs d'Android, d'iOS et de PC de SC Magazine