Les créateurs de FluBot ont lancé une nouvelle campagne qui utilise de faux avertissements de mise à jour de sécurité Android pour inciter les victimes potentielles à installer le logiciel malveillant sur leurs appareils.
Dans un nouvel article de blog, l’équipe d’intervention d’urgence informatique de la Nouvelle-Zélande, Cert NZ, a averti les utilisateurs que le message sur la nouvelle page d’installation du logiciel malveillant est en fait un leurre conçu pour instiller un sentiment d’urgence qui incite les utilisateurs à installer FluBot sur leurs propres appareils.
La nouvelle page d’installation de FluBot, à laquelle les utilisateurs sont dirigés après avoir reçu de faux messages sur des livraisons de colis en attente ou manquées ou même des photos volées téléchargées en ligne, les informe que leurs appareils sont infectés par FluBot, une forme de logiciel espion Android utilisé pour voler la connexion financière et les données de mot de passe de leurs appareils. Cependant, en installant une nouvelle mise à jour de sécurité, ils peuvent supprimer FluBot de leur smartphone Android.
La page va également plus loin en demandant aux utilisateurs d’activer l’installation d’applications provenant de sources inconnues sur leur appareil. Ce faisant, la fausse mise à jour de sécurité des cybercriminels peut être installée sur leur appareil et bien qu’un utilisateur puisse penser qu’il a pris des mesures pour se protéger contre FluBot, il a en fait installé le malware sur son smartphone lui-même.
Sommaire
Changer de tactique
Jusqu’à récemment, FluBot se propageait aux smartphones Android par le biais de messages texte de spam utilisant des contacts volés sur des appareils déjà infectés par le logiciel malveillant. Ces messages demanderaient aux victimes potentielles d’installer des applications sur leurs appareils sous la forme d’APK fournis par des serveurs contrôlés par des attaquants.
Une fois que FluBot a été installé sur l’appareil d’un utilisateur, le malware essaie souvent d’inciter les victimes à lui donner des autorisations supplémentaires ainsi qu’à accorder l’accès au service Android Accessibility qui lui permet de s’exécuter en arrière-plan et d’exécuter d’autres tâches malveillantes.
FluBot est capable de voler les informations de paiement et bancaires d’un utilisateur en utilisant des attaques par superposition où une superposition est placée au-dessus d’applications bancaires, de paiement et de crypto-monnaie légitimes. Comme mentionné précédemment, le malware volera également les contacts d’un utilisateur pour lui envoyer des messages de phishing afin d’aider à propager encore plus FluBot.
Alors que FluBot était principalement utilisé pour cibler les utilisateurs en Espagne à ses débuts, ses opérateurs ont depuis étendu la campagne pour cibler d’autres pays d’Europe, notamment l’Allemagne, la Pologne, la Hongrie, le Royaume-Uni et la Suisse ainsi que l’Australie et le Japon ces derniers mois.
Via BleepingOrdinateur
