Des chercheurs en sécurité de la société Proofpoint Cloudmark ont découvert une nouvelle souche de malware mobile propagée par SMS que les cybercriminels utilisent pour cibler les utilisateurs aux États-Unis et au Canada avec des leurres Covid-19.
Le malware a été surnommé TangleBot en raison de ses nombreux niveaux d’obscurcissement et de sa capacité à contrôler une multitude de fonctions d’appareil enchevêtrées, notamment les contacts, les capacités SMS et téléphoniques, les journaux d’appels, l’accès Internet, l’appareil photo et le microphone.
Tout comme avec le malware FluBot qui continue d’être une menace en Europe et au Royaume-Uni, TangleBot essaie d’inciter les utilisateurs mobiles à télécharger des logiciels malveillants en envoyant de fausses notifications d’avertissement Covid-19. Alors que certains des messages texte utilisés dans la campagne contiennent des informations sur les réglementations, d’autres fournissent des détails sur les rappels de vaccins.
Comme c’est le cas pour de nombreuses campagnes de phishing, ces messages créent un sentiment d’urgence car les utilisateurs peuvent vouloir savoir comment les réglementations Covid ont changé dans leur région ou ils peuvent être intéressés par un rappel du vaccin Covid-19 pour mieux se protéger contre les nouvelles variantes. du virus.
Sommaire
Logiciel malveillant TangleBot
Si un utilisateur clique sur le lien contenu dans l’un des messages texte de la campagne, un site Web apparaît pour l’informer qu’Adobe Flash Player est obsolète et doit être mis à jour. Cliquer sur les boîtes de dialogue suivantes installe ensuite le malware TangleBot sur leur smartphone Android.
TangleBot se voit alors accorder des privilèges pour accéder et contrôler de nombreuses fonctions des appareils, comme mentionné ci-dessus. Avec cet accès, un attaquant peut désormais passer et bloquer des appels téléphoniques, envoyer, obtenir et traiter des messages texte, enregistrer à l’aide de l’appareil photo ou du microphone de l’appareil ainsi qu’enregistrer son écran, placer des écrans de superposition sur l’appareil pour couvrir des applications légitimes et mettre en œuvre d’autres appareils. capacités d’observation selon un article de blog de Cloudmark.
Tout comme les chercheurs de l’entreprise l’ont observé avec FluBot, TangleBot peut superposer des applications bancaires ou financières et voler directement les informations d’identification du compte d’une victime. Cependant, un attaquant peut également utiliser l’appareil d’une victime pour envoyer des messages à d’autres appareils mobiles afin de propager encore plus leurs logiciels malveillants. Même si un utilisateur découvre que TangleBot est installé sur son appareil et le supprime, un attaquant peut ne pas utiliser ses informations volées pendant un certain temps, ce qui rend la victime inconsciente du fait que les informations d’identification de son compte ont été volées.
Pour éviter d’être victime de TangleBot et d’autres logiciels malveillants mobiles, Cloudmark recommande aux utilisateurs d’être à l’affût des messages texte suspects provenant d’expéditeurs inconnus et d’éviter de cliquer sur les liens que ces messages peuvent contenir. Les utilisateurs doivent également éviter d’installer des applications provenant de sources autres que le Google Play Store ou d’autres magasins d’applications officiels.
