Le logiciel malveillant Android connu sous le nom de FluBot continue de semer la pagaille dans certains pays européens, et l'on spécule que les mauvais acteurs qui en sont à l'origine pourraient décider de cibler d'autres géographies, notamment les États-Unis. Voici pourquoi vous devez être vigilant, comment FluBot fonctionne et comment vous pouvez supprimer ce méchant Android de votre appareil.
Il convient également de noter que ces conseils vous aideront à vous protéger contre d'autres logiciels malveillants pour Android. Ces derniers jours, les cybercriminels ont commencé à cibler les Européens avec TeaBot (également connu sous le nom d'Anatsa ou Toddler), une famille de malwares Android qui utilise exactement la même technique que FluBot pour se propager et inciter les utilisateurs à divulguer leurs données sensibles. FluBot et TeaBot sont détectés par les produits ESET comme des variantes de la famille Android/TrojanDropper.Agent
Comment fonctionne FluBot?
Si une victime est attirée par l'attaquant dans la campagne malveillante, l'ensemble de son appareil Android devient accessible à l'escroc. Il est ainsi possible de voler des numéros de carte de crédit et des identifiants d'accès à des comptes bancaires en ligne. Pour éviter d'être éliminé, l'attaquant met en place des mécanismes pour stopper la protection intégrée offerte par le système d'exploitation Android et empêche l'installation de nombreux logiciels de sécurité tiers, une action que de nombreux utilisateurs feraient pour supprimer un logiciel malveillant.
La victime reçoit d'abord un message SMS qui usurpe l'identité d'une marque de logistique de livraison populaire, comme FedEx, DHL et Correos (en Espagne). Le message invite l'utilisateur à cliquer sur un lien afin de télécharger et d'installer une application portant la même marque que le message SMS, mais qui est en réalité malveillante et contient le logiciel malveillant FluBot. Voici un exemple du message SMS (en allemand) et de l'invitation à installer l'application :
Une fois installé et doté des autorisations demandées, FluBot libère une pléthore de fonctionnalités, dont le spamming par SMS, le vol de numéros de cartes de crédit et d'identifiants bancaires, et les logiciels espions. La liste des contacts est exfiltrée de l'appareil et envoyée à des serveurs contrôlés par l'acteur malveillant, ce qui lui fournit des informations personnelles supplémentaires et lui permet de lancer d'autres attaques contre d'autres victimes potentielles. Les SMS et les notifications des opérateurs télécoms peuvent être interceptés, des pages de navigateur peuvent être ouvertes et des superpositions permettant de capturer des informations d'identification peuvent être affichées.
L'application malveillante désactive également Google Play Protect pour éviter la détection par la sécurité intégrée du système d'exploitation. En outre, en raison des autorisations excessives accordées, le mauvais acteur est en mesure de bloquer l'installation de nombreuses solutions anti-malware tierces.
Comment supprimer FluBot
Un appareil compromis peut nécessiter la suppression manuelle du logiciel malveillant. Mon collègue, Lukas Stefanko, a produit une courte vidéo contenant des instructions utiles sur la manière de supprimer cette application et toute autre application malveillante :
Si vous recevez un SMS inconnu ou inattendu contenant un lien cliquable, abstenez-vous de cliquer sur le lien et supprimez plutôt le message. Dans le cas malheureux où le logiciel malveillant a été installé sur un appareil et où une activité bancaire ou autre a eu lieu depuis l'installation, contactez immédiatement les organisations concernées et bloquez l'accès et, si nécessaire, changez les mots de passe, en n'oubliant pas de les rendre uniques et forts.
Que ce logiciel malveillant atteigne ou non l'Amérique du Nord en nombre significatif, sa fonctionnalité et les ravages déjà causés en Europe devraient inciter tous les utilisateurs d'Android à faire attention aux messages suspects et à installer des logiciels de sécurité, afin d'éviter que d’autres applications aussi malveillantes ne s'installent sur leurs appareils.
