Titre: ESET Research : FluBot, cheval de Troie bancaire Android, se fait passer pour des sociétés de logistique internationales (20/05/2021 Par cda)
Le 20 mai 2021 – Le malware FluBot, détecté pour la première fois en Espagne fin décembre 2020 par ESET, s'est propagé, en 2021, entre autre en Allemagne, en Pologne, en Italie et aux Pays-Bas. Connu pour l'envoi de SMS avec des liens pour télécharger des applications malveillantes, FluBot a principalement ciblé les utilisateurs d'Android, mais aussi d'iPhone.
Alors que FluBot est passé par plusieurs étapes de développement, dans son avant-dernière version 3.9, il a commencé à faire campagne en Italie et à utiliser le service DNS sur HTTPS (DNS over HTTPS) de Cloudflare, un protocole crypté qui transforme les noms de domaine en adresses IP. Actuellement, dans la version 4.0 (version 4.0), il continue d'élargir ses horizons avec du code suggérant qu'il se prépare à toucher, pour la première fois, un plus grand nombre de pays à travers le monde et il frappe à nouveau le Royaume-Uni, le Danemark, la Finlande, la Suède, la Norvège et le Japon.
Les utilisateurs d'Android, qui protègent leurs appareils mobiles avec ESET Mobile Security (ESET Mobile Security), sont protégés contre FluBot et peuvent trouver toutes les détections du malware comme étant une variante de la famille Android / TrojanDropper.Agent. Alors que de nombreux utilisateurs d'Android ne sont pas nécessairement protégés par une solution de sécurité mobile et sont donc plus vulnérables à cette menace, nous examinons de plus près les ruses employées par FluBot et offrons quelques conseils pour rester en sécurité.
Un SMS «innocent» de votre service de livraison de colis?
En général, les opérateurs de FluBot lancent leurs campagnes par un envoi massif d’SMS, avec un des différents messages liés à l'expédition ou à la livraison accompagné d'un lien malveillant. En mars 2021, la télémétrie ESET (ESET telemetry) a récupéré un SMS ciblant les utilisateurs d'Android en Allemagne avec le message: "Votre colis arrive, suivez-le ici." Cette campagne spécifique à l’Allemagne a commencé le 15 mars et a touché des dizaines d'utilisateurs en quelques jours. D'autres exemples de messages incluent:
• UPS: Votre colis arrive. UPS online tracking: https://gdtmtx[.]com/4/?d90v13v10ipze
• Bonjour {nom d’utilisateur}. Veuillez confirmer aujourd’hui vos détails de livraison, sinon votre colis sera renvoyé: http://witheaseappareloptin[.]com/app/?04grwqo6da
• Bonjour, votre envoi a été livré le 05 / 03-2021 au dépôt. Voyez ici où vous pouvez récupérer votre colis: http://ekremakin[.]org/pack/?v12535eze4
• NACEX RECOMMANDE: LE STATUT DU PAQUET 303/03445873 ABSENT AVEC PRÉAVIS. GÉREZ À PARTIR DE https://visotka[.]in/pack/?i10gqjz1z7q OR TLF.936372200
• Nous n’avons pas été en mesure de livrer votre colis. Cliquez sur le lien pour créer une nouvelle date de livraison: https://sekolahalmunasemarang[.]sch[.]id/url/?ltdur4svax
Toute personne qui clique sur le lien malveillant est envoyée vers une page Web qui se fait passer pour une entreprise de logistique internationale comme DHL, FedEx ou, plus récemment, UPS. Il est évident que des entreprises de logistique régionales et locales sont également concernées par les usurpations d’identité de FluBot. Le but de ce stratagème est d'amener les utilisateurs d'Android à télécharger et à installer une application malveillante associée à FluBot, comme ce fut le cas dans l'appli FedEx alors que la vraie appli FedEx Mobile (FedEx Mobile) ne demande pas l'autorisation d'utiliser les services d'accessibilité.
Une fois installée, l'appli malveillante est capable de détecter d'autres applis installées sur l'appareil mobile pour des opérations bancaires ou de crypto-monnaies. Lorsque les utilisateurs ouvriront une de ces applis financières, FluBot pourra alors superposer une fenêtre convaincante mais fausse sur l'appli d'origine pour voler les informations d'identification.
Les utilisateurs d'iPhone peuvent également être ciblés par FluBot - la différence étant qu'aucune appli malveillante n'est proposée. C’est une escroquerie de phishing qui est utilisée, tout comme une fausse enquête Amazon (fake Amazon survey), qui demande les détails de la carte de crédit avec la fausse promesse d'une récompense.
L’ampleur des campagnes FluBot
Au cours des deux premiers mois des campagne de FluBot, de fin décembre 2020 à fin février 2021,- la cible principale était clairement les utilisateurs Android espagnol. Fin février, une estimation a révélé qu’en Espagne pas moins de 60.000 appareils Android avaient été victimes de FluBot. En outre, plus de 11 millions de numéros de téléphone, presque tous appartenant à des résidents espagnols, avaient été collectés par les opérateurs de FluBot.
Peu après, début mars, plusieurs reportages ont affirmé qu'une partie du gang criminel derrière FluBot avait été arrêtéee lors d'une opération de police à Barcelone (police operation in Barcelona). Cette information était cependant erronée, car pour se faire passer pour des entreprises de logistique telles que Correos (le service de messagerie national espagnol) et voler des informations de carte de crédit, le gang arrêté utilisait des sites Web et non pas des applis malveillantes. De plus, les attaques FluBot s’étant poursuivies après ces arrestations et le malware étant publié dans des forums de piratage clandestins, les développeurs de FluBot sont donc toujours en liberté et vendent leurs produits sous forme de malware-as-a-service.
Vu le succès des attaques FluBot en Europe, d'autres acteurs malveillants ont copié les tactiques de FluBot utilisant des messages SMS et des applis malveillantes et se font passer pour des sociétés de logistique. C’est le cas de TeaBot (alias Anatsa et Toddler), un autre cheval de Troie bancaire Android découvert en janvier (discovered in January). Il est passé de l’utilisation de faux lecteurs multimédias à de fausses applis se faisant passer pour des sociétés de logistique.
Méfiez-vous des SMS malveillants, fausses applications et autres ruses
Compte tenu de l'expansion rapide des campagnes FluBot au cours de ces dernières semaines, gardez à l'esprit les conseils suivants :
• Réfléchissez-y à deux fois avant de cliquer sur un lien envoyé par SMS. Allez sur le site officiel et prenez tous les prétendus numéros de suivi pour vérifier leur authenticité.
• Ne téléchargez des applis qu’à partir des boutiques d'applis officielles telles que Google Play.
• Méfiez-vous des autorisations que vous accordez aux applis. Si vous remarquez que les autorisations demandées sont suspectes et inappropriées pour le but déclaré de l'appli, cela peut être un signal indiquant que vous avez affaire à une appli malveillante.
• Avant de télécharger une application, faites des recherches sur le développeur, les cotes de l'application et les avis des utilisateurs. Soyez particulièrement attentif aux critiques négatives - certaines applis sont tout simplement trop belles pour être vraies.
• Utilisez une solution de sécurité réputée telle qu’ESET Mobile Security.
• Si vous avez eu la malchance d’installer une appli malveillante, vous pouvez suivre les étapes de la vidéo (video) de Lukaš Štefanko, chercheur chez ESET, expliquant comment identifier une appli malveillante et redémarrer votre téléphone en mode sécuritaire pour la désinstaller.
Retour