FluBot, le logiciel malveillant qui cible les utilisateurs d’Android depuis quelques mois, est de retour. Pour le révéler, une recherche de Bitdefender Labs, qui montre comment la nouvelle campagne SMiShing vise désormais les appareils Android (les plus exposés) et iOS. Les logiciels malveillants se propagent dans toute l’Europe, principalement en Allemagne, en Roumanie, au Royaume-Uni, en Pologne, en Espagne, en Suède, en Autriche, en Finlande et au Danemark, avec un maximum entre avril et mai. Selon Bitdefender, les campagnes ont été planifiées dès le début, pour se concentrer sur des pays individuels. Comment se passe l’attaque ?
Les victimes reçoivent souvent un SMS normal (voire un message vocal) annonçant un faux contenu derrière un lien corrompu. Cliquer vous amènera à un écran avec une invite pour installer une application inconnue; dans ce cas, une fausse application de messagerie vocale, probablement nécessaire pour écouter votre messagerie vocale. Si vous suivez les instructions, la fausse application de messagerie vocale nécessite des autorisations d’accessibilité pour obtenir un accès complet aux zones d’intérêt sur votre téléphone. À ce stade, FluBot collecte les contacts de la victime et utilise l’application SMS pour continuer à diffuser des liens malveillants dans tout le système, tout en volant les données et en les envoyant au serveur C&C. Il utilise également des privilèges d’accessibilité pour compliquer la désinstallation de l’application par l’utilisateur. FluBot ne fonctionne pas sur iOS, mais si un utilisateur d’iPhone accède au lien, il sera redirigé vers des sites de pêche et des escroqueries par abonnement.
Que faire? Bitdefender a constaté que l’activité de FluBot est en hausse malgré l’arrestation de plusieurs personnes soupçonnées de diffuser des malwares. Par conséquent, nous recommandons la plus grande prudence lors de la réception de SMS, ou au moins un antivirus qui bloque l’attaque.