Le Centre national de cybersécurité finlandais (NCSC-FI) a émis une « alerte sévère » pour mettre en garde contre une campagne massive ciblant les utilisateurs Android du pays avec le malware bancaire Flubot poussé via des messages texte envoyés à partir d’appareils compromis.
Il s’agit de la deuxième campagne Flubot à grande échelle qui frappe la Finlande cette année, avec un précédente série d’attaques SMS spammant des milliers de Fins chaque jour entre début juin et mi-août 2021.
Tout comme cela s’est produit au cours de l’été, la nouvelle campagne de spam utilise également un thème de messagerie vocale, demandant aux cibles d’ouvrir un lien qui leur permettrait d’accéder à un message vocal ou à un message de l’opérateur mobile.
Cependant, les destinataires des SMS sont redirigés vers des sites malveillants poussant les installateurs d’APK à déployer le malware bancaire Flubot sur leurs appareils Android au lieu d’ouvrir une messagerie vocale.
Les cibles utilisant des iPhones ou d’autres appareils seront simplement redirigées vers d’autres pages frauduleuses et probablement aussi malveillantes, telles que des pages de destination de phishing tentant de hameçonner les détails de leur carte de crédit.
« Selon notre estimation actuelle, environ 70 000 messages ont été envoyés au cours des dernières 24 heures. Si la campagne actuelle est aussi agressive que celle de l’été, nous nous attendons à ce que le nombre de messages passe à des centaines de milliers dans les prochains jours. Il y a déjà des dizaines de cas confirmés où des appareils ont été infectés », le Centre national finlandais de cybersécurité mentionné dans l’alerte émise vendredi.
« Nous avons réussi à éliminer presque complètement FluBot de Finlande à la fin de l’été grâce à la coopération entre les autorités et les opérateurs de télécommunications. La campagne de logiciels malveillants actuellement active est nouvelle, car les mesures de contrôle précédemment mises en œuvre ne sont pas efficaces » mentionné Aino-Maria Väyrynen, conseillère en sécurité de l’information NCSC-FI.
Il est conseillé aux utilisateurs d’Android qui reçoivent des messages de spam Flubot de ne pas ouvrir les liens intégrés ou de télécharger les fichiers partagés via le lien sur leurs smartphones.
Soyez conscient des logiciels malveillants propagés par SMS
Les #FluBot La campagne est redevenue active et le malware se propage par SMS. Des messages frauduleux rédigés en finnois sont envoyés à des dizaines de milliers de personnes en Finlande.https://t.co/TRXQa5Jv9D
– NCSC-FI (@CERTFI) 26 novembre 2021
Le malware bancaire Android devient mondial
Ce malware bancaire (également appelé Banquier Fedex et Cabassoux) est actif depuis fin 2020 et est utilisé pour voler des informations d’identification bancaires, des informations de paiement, des SMS et des contacts à partir d’appareils infectés.
Initialement, le botnet ciblait principalement les utilisateurs d’Android d’Espagne. Cependant, il s’est maintenant élargi pour cibler pays européens supplémentaires (Allemagne, Pologne, Hongrie, Royaume-Uni, la Suisse) et Australie et le Japon ces derniers mois, même si la police catalane aurait arrêté les chefs du gang de retour en mars.
Après avoir infecté un appareil Android, Flubot se propage aux autres en envoyant des messages texte à des contacts volés et en demandant aux cibles d’installer des applications malveillantes sous la forme d’APK. Le mois dernier, Flubot a également commencé à inciter ses victimes à s’infecter en utilisant de fausses mises à jour de sécurité mettant en garde contre les infections Flubot.
Une fois déployé sur un nouvel appareil, il tentera d’inciter les victimes à accorder des autorisations supplémentaires et à accorder l’accès au service d’accessibilité Android, lui permettant de masquer et d’exécuter des tâches malveillantes en arrière-plan.
Il prend ensuite en charge l’appareil infecté, accède aux informations bancaires et de paiement des victimes via des pages de phishing Webview superposées aux interfaces des applications bancaires mobiles et de crypto-monnaie légitimes.
Flubot exfiltre également le carnet d’adresses vers le serveur de commande et de contrôle (avec les contacts envoyés plus tard à d’autres robots Flubot pour pousser le spam), lit les messages SMS, passe des appels téléphoniques et surveille les notifications du système pour l’activité des applications.
Il est recommandé à ceux qui ont infecté leurs appareils avec le malware Flubot de prendre les mesures suivantes :
- Effectuez une réinitialisation d’usine sur l’appareil. Si vous restaurez vos paramètres à partir d’une sauvegarde, assurez-vous de restaurer à partir d’une sauvegarde créée avant l’installation du logiciel malveillant.
- Si vous avez utilisé une application bancaire ou traité des informations de carte de crédit sur l’appareil infecté, contactez votre banque.
- Signalez toute perte financière à la police.
- Réinitialisez vos mots de passe sur tous les services que vous avez utilisés avec l’appareil. Le malware peut avoir volé votre mot de passe si vous vous êtes connecté après avoir installé le malware.
- Contactez votre opérateur, car votre abonnement peut avoir été utilisé pour envoyer des SMS payants. Le malware actuellement actif pour les appareils Android se propage en envoyant des messages texte à partir d’appareils infectés.