Les malwares de type FluBot (SMS phishing de livraison de colis) prennent de l'ampleur : l'analyse et les préconisations d'Avast

Prague, République Tchèque, le 18 mai 2021 – Ces dernières semaines, des utilisateurs mobiles de plusieurs pays ont reçu des SMS de type "cheval de Troie" appelés « FluBot ». Derrière ce SMS qui prétend provenir d'une société de livraison se cache un malware qui, une fois installé, pourra voler des informations d'identification et d'autres données personnelles. Si cette attaque est relativement récente, de nombreuses variantes apparaissent. Avast, qui détecte et bloque déjà la menace pour protéger ses utilisateurs sous Android, continue en effet de voir de nouvelles formes de FluBot arriver quotidiennement via sa plate-forme de renseignement sur les menaces mobiles apklab.io.

« Les premières attaques FluBot ont été signalées il y a des semaines, et nous voyons encore des dizaines de nouvelles versions chaque jour » déclare Ondrej David, responsable de l'équipe d'analyse des logiciels malveillants chez Avast. « Alors que les solutions de sécurité bloquent ces attaques, la croissance rapide de cette forme de malware montre qu'elle est particulièrement réussie, et nous exhortons les utilisateurs à rester très vigilants. »

Selon de récentes recherches, FluBot a déjà infecté 60 000 appareils, dont une très grande majorité en Espagne, et le nombre total de numéros de téléphone collectés par les attaquants est estimé à 11 millions fin février / début mars 2021.

« Pour le moment, les principales cibles des pirates sont l’Espagne, l’Italie, l’Allemagne, la Hongrie, la Pologne et le Royaume-Uni. Mais il est possible que la portée des opérations soit étendue à d'autres pays dans un proche avenir. Chaque individu doit être très prudent avec tout SMS entrant qu'il reçoit, en particulier en ce qui concerne les services de livraison », ajoute Ondrej David.

Comment fonctionne FluBot ?

FluBot se propage en envoyant des SMS affirmant que le destinataire a une livraison de colis et l’invite à télécharger une application de suivi en utilisant le lien inclus. L'application est un logiciel malveillant qui, une fois installé, vole les informations de contact de la victime et les télécharge sur un serveur distant. Ces informations sont ensuite utilisées par le serveur pour envoyer d'autres messages et distribuer davantage de SMS malveillants à ces mêmes contacts "volés". 

L'application malveillante utilise un composant Android appelé "Accessibilité" pour surveiller ce qui se passe sur l'appareil et en prendre le contrôle. Par exemple, cela lui permet d'afficher des superpositions de fenêtres de haute priorité. En d'autres termes, le logiciel malveillant peut afficher quelque chose par-dessus tout ce qui est actuellement à l'écran tel qu'un faux portail bancaire affiché sur une activité d'application bancaire légitime. Si l'utilisateur entre ses informations d'identification sur cet écran de superposition, elles peuvent être volées et utilisées !

Ce composant est exploité par le logiciel malveillant comme mécanisme d'auto-défense pour annuler toute tentative de désinstallation par les utilisateurs concernés, ce qui rend difficile la suppression de l'application une fois installée.

« Ce logiciel malveillant est particulièrement efficace car il se déguise en service de livraison de colis. De nombreux utilisateurs en seraient facilement victimes, surtout en cette situation de pandémie où la livraison à domicile est devenue fréquente », commente Ondrej David.

Pendant la pandémie, de plus en plus de consommateurs se sont habitués aux achats en ligne et il n'est pas rare de recevoir souvent des colis. Depuis la crise sanitaire, les deux tiers d’entre eux ont augmenté leurs activités d'achat en ligne. Les cybercriminels qui développent des logiciels malveillants tirent parti de cette tendance et des événements actuels pour s'assurer qu'ils attirent autant de victimes potentielles que possible.

Comment vous protéger de FluBot ?

1. Installez un antivirus : tout d'abord, il est indispensable d’installer une solution antivirus qui empêche les menaces telles que FluBot. Avast Antivirus pour Android détecte et alerte les utilisateurs sur la menace puis les protège. De plus, si l’utilisateur pense que son matériel est déjà infecté par FluBot, il peut installer l'application antivirus pour exécuter une analyse sur son appareil afin d'identifier le malware. Si le virus est détecté, il est conseillé de redémarrer son appareil en mode sans échec et de désinstaller l'application malveillante. Avec cette étape, toutes les autres applications tierces seront également désactivées momentanément, avant d’être à nouveau actives au prochain redémarrage.
2. Changez vos mots de passe : si les utilisateurs pensent avoir été victimes d'un vol d'informations d'identification via cette attaque, il est conseillé de réinitialiser les mots de passe des services qui, selon eux, auraient pu être compromis, tels que les applications bancaires et d'achat.
3. Adoptez les bons gestes en prévention : nous recommandons aux utilisateurs d’adopter les mesures suivantes pour se protéger de FluBot et d’autres attaques de phishing sur mobile :

• • Ne cliquez pas sur les liens dans les messages SMS. Surtout si un message vous demande d'installer des logiciels ou des applications ;
  • Soyez sceptique. Faites preuve de prudence avec tout SMS suspect. Si vous recevez une information à laquelle vous ne vous attendiez pas, il est toujours préférable d'appeler l'entreprise vous-même, en utilisant les coordonnées fournies sur son site Web pour confirmer le message reçu. Ne répondez pas directement aux communications suspectes. Commencez toujours une nouvelle communication via les canaux de service officiels de l'entreprise ;
  • Remettez le message en question. Il est important que vous vous entraîniez à détecter les messages de phishing. Ceux-ci ont tendance à être génériques et à se propager au grand public, tels que les messages automatisés, ou ceux qui présentent une offre trop belle pour être vraie ("comment gagner un nouveau smartphone" ou "hériter d'une grosse somme d'argent" d'un membre inconnu de la famille) ;
  • N'installez pas d'applications à partir de n'importe où, mais privilégiez les outils de téléchargement d'applications officiels. La plupart des grandes sociétés de transport ont leurs propres applications disponibles en téléchargement sur des plateformes de confiance comme Google Play ou l'App Store d'Apple. De plus, configurez la sécurité de votre appareil mobile pour installer uniquement des applications provenant de sources fiables comme Google Play ou l'App Store d'Apple.