Recherches Bitdefender : La nouvelle campagne Flubot cible l’Europe

0
228

Bitdefender a publié de nouvelles recherches sur une campagne européenne de diffusion du malware Flubot et d’infection des appareils Android et iOS par smishing.

Une fois qu’un appareil est infecté, le cheval de Troie Flubot vole des données bancaires, des contacts, des SMS et d’autres types de données privées. Il utilise également ses privilèges d’accessibilité pour rendre difficile la désinstallation de l’application par l’utilisateur.

Les pays les plus touchés par cette campagne sont les suivants :

• Allemagne – 37%
• Roumanie – 32%
• Royaume-Uni- 18%

Les opérateurs FluBot ciblent les pays européens avec une nouvelle campagne de smishing, sautant d’un pays à l’autre dans une poussée intense pour infiltrer des données et propager des logiciels malveillants sur les téléphones des utilisateurs. Initialement détecté vers Pâques dans le pays d’origine de Bitfefender, la Roumanie, la dernière campagne FluBot utilise les mêmes techniques de smishing qu’avant : un SMS publicité de faux contenus, généralement un message vocal. Les utilisateurs d’Android et d’iPhone reçoivent les textes à doses presque égales cette fois, mais les utilisateurs d’Android sont toujours la cible principale. FluBot n’épargne personne Tout commence par un SMS annonçant un faux contenu derrière un lien entaché.

Si les utilisateurs accèdent au lien, une invite d’installation leur demande l’autorisation d’installer une application inconnue – dans ce cas, une fausse application de messagerie vocale prétendument nécessaire pour écouter le message vocal.

L’objectif principal des attaquants ici est d’amener les utilisateurs à installer le cheval de Troie bancaire FluBot sur leur smartphone. Si la victime suit les instructions, la fausse application de messagerie vocale (FluBot / Voicemail) demande des autorisations d’accessibilité pour se donner un accès complet aux zones d’intérêt sur le téléphone.

Si l’accès lui est accordé, FluBot collecte les contacts de la victime et utilise l’application SMS pour continuer à diffuser des liens malveillants dans l’écosystème mobile, tout en volant des données et en les envoyant au serveur C&C. Il utilise également ses privilèges d’accessibilité pour empêcher l’utilisateur de désinstaller l’application.

Comme tout cheval de Troie bancaire typique, FluBot est conçu pour siphonner les informations de carte de crédit et les informations d’identification, permettant aux cybercriminels non seulement de voler de l’argent, mais aussi de piller les différents comptes des victimes. Voici une liste d’icônes d’application que FluBot imite :

FluBot ne fonctionne pas sur iOS. Mais lorsque les propriétaires d’iPhone accèdent aux liens infectés, ils sont redirigés vers des sites de phishing et des escroqueries par abonnement. Dans l’exemple ci-dessous, une escroquerie par sondage typique se déroule. Les victimes sont encouragées à répondre à quelques questions d’études de marché pour un iPhone 13 gratuit.

La plupart de l’Europe ciblée

Après le déroulement de la campagne de Pâques en Roumanie, Bitdefender a commencé à surveiller de plus près l’activité de FluBot sur le Vieux Continent et a remarqué un pic considérable en avril-mai.

Cela coïncide avec des rapports non seulement de Roumanie, mais aussi de Finlande. La Finlande en est à sa deuxième rencontre majeure avec FluBot en six mois. Les deux campagnes ont vu des messages hautement localisés avec une formulation correcte, ce qui suggère que les opérateurs FluBot investissent plus de temps et d’efforts pour étendre leur portée – en termes de plate-forme et de langue.

Cette fois, la majeure partie de l’Europe est ciblée dans un effort concerté des opérateurs FluBot. Les pays les plus ciblés sont l’Allemagne, la Roumanie, le Royaume-Uni, la Pologne, l’Espagne, la Suède, l’Autriche, la Finlande et le Danemark. La Roumanie et l’Allemagne sont de loin les régions les plus ciblées dans cette campagne FluBot rajeunie, avec une part combinée de 69 %, comme le montre le graphique ci-dessous.

Alors que plusieurs régions ont été touchées à peu près au même moment, placer des paires aléatoires de pays côte à côte montre plus clairement que les pics d’attaque ne coïncident pas réellement. Cela suggère que des campagnes individuelles et localisées ont été programmées dès le départ. Par exemple, les détections ont commencé à augmenter en Pologne alors que les attaques diminuaient en Roumanie.

Les Finlandais et les Suédois ont été ciblés de la même manière, les détections en Suède diminuant à mesure que la campagne finlandaise commençait à s’intensifier. La Belgique et l’Espagne offrent d’autres exemples de ce comportement.

Dans l’ensemble, les opérateurs FluBot semblent se concentrer sur la localisation de petites campagnes individuelles sur des pays individuels. Ce n’est donc probablement pas le dernier FluBot que nous verrons cette année. Malgré les arrestations de plusieurs personnes soupçonnées d’exploiter le logiciel malveillant, les campagnes FluBot se sont en fait intensifiées ces derniers temps, ce qui signifie qu’il n’y a aucune raison de ne pas s’attendre à d’autres vagues d’attaques à l’avenir. En fait, en raison de cette campagne agressive, nous pourrions dire que FluBot aide à sensibiliser le public au smishing en tant que moyen d’attaque.

Chez Bitdefender, l’action se fait sur plusieurs fronts pour sensibiliser le public à ce vecteur d’attaque par ingénierie sociale. Étant donné que l’activité de FluBot augmente, Bitdefender recommande vivement aux utilisateurs d’installer une solution de sécurité capable de détecter non seulement FluBot lui-même, mais également tout vecteur d’ingénierie sociale conçu pour déployer des logiciels malveillants.

Votre application de sécurité doit pouvoir étouffer le problème dans l’œuf. Avec la nouvelle fonctionnalité Scam Alert, Bitdefender Mobile Security déjoue les attaques par smishing avant même que les utilisateurs n’interagissent avec le contenu malveillant.