Un groupe de hackers chinois nommé Roaming Mantis (la Mante itinérante) mène une campagne de phishing en France à travers des textos prétextant la réception d’un colis.

Un groupe de hackers chinois a lancé une campagne d’hameçonnage sophistiquée par SMS sur le sol français. Pas moins de 70 000 appareils Android auraient été infectés par les attaquants. L’opération a été repérée par Sekoia, une entreprise spécialisée en cyber, qui a détaillé les méthodes utilisées par les pirates informatiques dans un rapport publié le 18 juillet dernier.

Le groupe de hackers, connu sous le nom de « Roaming Mantis » – Mante itinérante en français – est déjà à l’origine de nombreuses campagnes de collecte de données contre des citoyens européens. Cette fois, les pirates ont envoyé un SMS de phishing indiquant « Votre colis a été envoyé. Veuillez le vérifier et le recevoir » avec un lien frauduleux. Une fois que la victime se rend sur cet URL, la page lui propose une mise à jour de son navigateur web pour installer discrètement le logiciel malveillant. À noter que le malware ne s’active que si l’usager se trouve en France, a contrario un message « 404 not found » s’affiche.

sms
Le SMS de phishing envoyé par les hackers de Roaming Mantis. Source : Sekoia

Des spécialistes du vol de données bancaires

Une fois téléchargé, le logiciel malveillant baptisé MoqHao, pur produit des hackers de Roaming Mantis, s’infiltre dans le smartphone et va automatiquement collecter les informations sur l’appareil piégé. Les chercheurs de Sekoia ont même découvert que les attaquants envoyaient des SMS piégés depuis des smartphones déjà infectés. « Nous avons remonté l’un des numéros utilisés pour envoyer des SMS de phishing, c’était une personne lambda dont le téléphone était détourné sans qu’elle s’en rende compte » nous raconte Quentin Bourgue, ingénieur en cyber chez Sekoia. Ce dernier a remonté le message frauduleux jusqu’aux hackers, après avoir reçu lui-même le fameux texto.

« Nous pensons qu’ils sont motivés financièrement. Le groupe dérobe une quantité massive de données auprès de particuliers, mais on ne connaît pas encore l’intérêt final. Cela peut être de la revente de données, un premier acte avant une autre étape plus sophistiquée ».

Roaming Mantis est un acteur identifié depuis 2017 par McAfee, qui n’a jamais cessé d’être actif depuis. Les méthodes aussi n’ont pas changé. Le groupe de hackers a commencé par des campagnes d’hameçonnage par SMS en Corée du Sud, puis au Japon pour s’étendre à l’Europe depuis un an. Les données dérobées sont souvent des identifiants bancaires, alors attention à ne pas cliquer par mégarde sur le moindre SMS douteux.