Le malware FluBot se répand rapidement en Europe

Selon une nouvelle analyse de Proofpoint, les pirates informatique derrière FluBot (alias Cabassous) se sont aventurés au-delà de l’Espagne pour cibler le Royaume-Uni, l’Allemagne, la Hongrie, l’Italie et la Pologne. À elle seule, la campagne anglophone a utilisée plus de 700 domaines uniques, infectant environ 7 000 appareils Android au Royaume-Uni.

Des SMS en allemand et en anglais ont aussi été envoyés aux utilisateurs américains depuis l’Europe, ce que Proofpoint soupçonne d’être le résultat de logiciels malveillants se propageant via des listes de contacts stockées sur des téléphones compromis. Une campagne concertée visant les États-Unis n’a pas encore été détectée.

FluBot, une entrée naissante dans le paysage des chevaux de Troie bancaire, a commencé ses opérations à la fin de l’année dernière, avec des campagnes tirant parti des logiciels malveillants infectant plus de 60 000 utilisateurs en Espagne, selon une analyse publiée par Proactive Defence Against Future Threats (PRODAFT) en Mars 2021. Il aurait amassé plus de 11 millions de numéros de téléphone à partir des appareils, ce qui représente 25% de la population totale en Espagne.

Principalement distribués par le SMS phishing (ou smishing), les messages se font passer pour un service de livraison comme FedEx, DHL et Correos, apparemment informant les utilisateurs de leur statut de livraison de colis ou d’expédition avec un lien pour suivre la commande, qui, lorsqu’il est cliqué, télécharge des applications malveillantes qui ont le module FluBot chiffré intégré en eux.

flubot

« FluBot est un nouveau malware bancaire Android qui utilise des attaques de superposition pour effectuer de l’hameçonnage d’application, » ont noté les chercheurs. « Le malware cible principalement les applications bancaires mobiles et de crypto-monnaies, mais rassemble également un large éventail de données utilisateur provenant de toutes les applications installées sur un appareil donné. »

Lors de l’installation, FluBot suit non seulement les applications lancées sur l’appareil, mais superpose également des pages de connexion d’applications financières avec des variantes malveillantes spécialement conçues à partir d’un serveur contrôlé par l’attaquant, conçu dans le but de détourner les informations d’identification, en plus de récupérer les listes de contacts, les messages, les appels et les notifications en abusant du service d’accessibilité Android.

Bien que les autorités espagnoles aient arrêté quatre criminels soupçonnés d’être derrière la campagne de FluBot en Mars, les infections ont depuis repris, tout en élargissant simultanément les pays ciblés pour inclure le Japon, la Norvège, la Suède, la Finlande, le Danemark et les Pays-Bas dans un court laps de temps, selon les dernières trouvailles de ThreatFabric.

L’augmentation de l’activité de FluBot a incité le bureau fédéral allemand pour la sécurité de l’information (BSI) et le Centre national de cybersécurité (NCSC) du Royaume-Uni à émettre des alertes avertissant des attaques en cours via des SMS frauduleux qui incitent les utilisateurs à installer des « logiciels espions qui volent des mots de passe et d’autres données sensibles ».

« FluBot est susceptible de continuer à se propager à un rythme assez rapide, se déplaçant méthodiquement d’un pays à l’autre grâce à un effort conscient par les pirates informatique », ont déclaré les chercheurs de Proofpoint. « Tant qu’il y aura des utilisateurs prêts à faire confiance à un SMS inattendu et à suivre les instructions et les invites fournies par les pirates informatique, des campagnes comme celles-ci seront couronnées de succès. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire