Le malware FluBot ressurgit en Europe, les iPhone également ciblés

Le centre national finlandais de cybersécurité demande à ses citoyens d'éviter les SMS annonçant un appel entrant suivi d'un lien. La raison ? Les campagnes de diffusion du cheval de Troie bancaire FluBot sont de retour.

"La campagne de logiciels malveillants FluBot pour les appareils Android a de nouveau été activée en Finlande", lit-on dans un avertissement émis par l'autorité de cybersécurité du pays.

Les finlandais ont déjà eu des démêlés similaires avec FluBot dans le passé, tout comme d'autres régions du monde.

"Le malware vole les données de l'appareil de l'utilisateur et est distribué via SMS et MMS", indique l'avertissement.

Bitdefender peut indépendamment confirmer un pic considérable d'activité FluBot en Finlande au cours des derniers jours.

Activité FluBot au cours des 15 derniers jours (Finlande) Crédit : Bitdefender

La campagne est similaire aux précédentes, les utilisateurs recevant un SMS ou un MMS contenant un faux message vocal, un appel manqué, "ou une notification d'une transmission entrante", selon l'avertissement.

Des milliers de messages malveillants circulent activement demandant aux utilisateurs d'installer une application pour accéder au prétendu contenu. L'application, cependant, n'est autre qu'un malware FluBot, prévient le centre de cybersécurité de Finlande.

"Comme la grippe"

Conçu à l'origine comme un cheval de Troie bancaire, FluBot permet à ses opérateurs d'extraire les informations de carte de crédit et les données de connexion (identifiants) des victimes et de piller leurs différents comptes en ligne - principalement leurs comptes bancaires. Il copie également la liste de contacts de la victime et lui envoie automatiquement des liens infectés, se propageant comme la grippe. D'où le nom, FluBot (flu = grippe en anglais).

« Le logiciel malveillant demande le consentement explicite de l'utilisateur pour l'installation. Une tentative est faite pour persuader l'utilisateur de désactiver les paramètres de sécurité de l'appareil pour installer le logiciel malveillant », selon le cybercentre finlandais.

Crédit : kyberturvallisuuskeskus.fi

Étant donné qu'iOS empêche les installations d'applications tierces en dehors du magasin officiel d'Apple, les propriétaires d'iPhone qui reçoivent cette campagne sont redirigés vers des escroqueries par abonnement et d'autres types d'ingénierie sociale. En d'autres termes, les clients d'Apple ne sont en aucun cas exempts de cette campagne malveillante.

Identique à la campagne ciblant la Roumanie à Pâques

La campagne est identique à celle qui a balayé la Roumanie en avril, lorsque des milliers d'utilisateurs d'Android ont enregistré une vague de smishing (envoi de liens d'hameçonnage par sms). Comme pour les utilisateurs finlandais d'iOS, les propriétaires d'iPhone en Roumanie ont été redirigés vers des sites d'hameçonnage et d'autres escroqueries, a confirmé Bitdefender à l'époque.

L'avis note que le simple fait d'ouvrir le lien n'installe pas le logiciel malveillant, mais si les victimes autorisent finalement son installation, elles doivent réinitialiser leurs appareils aux paramètres d'usine dès que possible, puis restaurer à partir d'une sauvegarde enregistrée avant l'infection par le logiciel malveillant.

Bien que les mesures d'atténuation décrites dans l'avis soient certainement exactes, la meilleure façon de garder FluBot hors de votre téléphone Android est d'utiliser une solution de sécurité capable de bloquer les logiciels malveillants spécifiques aux mobiles. Les tactiques des attaquants varient au fil du temps et s'amélioreront sans aucun doute dans les campagnes futures, ce qui rend impératif de maintenir un mécanisme de détection avancé sur votre appareil.

Bitdefender Mobile Security avertit les utilisateurs qu'une tentative d'escroquerie est en cours sur leur appareil avant même qu'ils ne puissent accéder au contenu malveillant. Toute tentative ultérieure d'installation du logiciel malveillant FluBot déguisé est bloquée.