Le phishing de la semaine :  les livraison de colis

Avast Security News Team, 5 mai 2021 09:52:57
Avast Security News Team, 5 mai 2021 09:52:57

« Votre colis arrive, téléchargez l'application pour le suivre » ou « Vous avez manqué la livraison de votre colis, téléchargez l'application pour le suivre ».

Le phishing de la semaine est un smishing. Une campagne de logiciels malveillants ciblant les utilisateurs de téléphones mobiles du monde entier et dérobant des informations personnelles est en cours. De nouveaux échantillons du logiciel FluBot apparaissent quotidiennement. Selon des recherches récentes, FluBot a jusqu'à présent déjà infecté 60 000 appareils et le nombre total de numéros de téléphone collectés par les attaquants était estimé à 11 millions fin février/début mars. 

Ces dernières semaines, les utilisateurs de téléphones portables de plusieurs pays ont reçu des SMS contenant un lien vers un cheval de Troie bancaire appelé « FluBot ». Cette menace prétend provenir d'une société de livraison et demande aux utilisateurs d'installer une application de suivi afin de suivre l'état du colis, mais elle est en fait utilisée pour voler des informations d'identification et d'autres données personnelles. Avast, qui détecte et bloque déjà la menace pour protéger ses utilisateurs Android, continue de voir arriver quotidiennement de nouveaux échantillons de FluBot via sa plateforme de renseignement sur les menaces mobiles apklab.io.

Le nombre total de numéros de téléphone collectés par les attaquants était estimé à 11 millions fin février/début mars.

« Les premières attaques de FluBot ont été signalées il y a plusieurs semaines, et nous voyons encore des dizaines de nouvelles versions d'échantillons évoluer chaque jour », a déclaré Ondrej David, responsable de l'équipe d'analyse des logiciels malveillants chez Avast. 

« Pour le moment, les principales cibles de la campagne des attaquants sont l'Espagne, l'Italie, l'Allemagne, la Hongrie, la Pologne et le Royaume-Uni. Mais il est possible que le champ d'action soit étendu à d'autres pays dans un avenir proche. Les gens doivent être très prudents avec les SMS entrants qu'ils reçoivent, en particulier ceux qui font référence à des services de livraison ».

flobot
Comment fonctionne FluBot

FluBot est un exemple de campagne de logiciels malveillants basée sur les SMS. Il se propage en envoyant des SMS prétendant que le destinataire a reçu un colis et l'incitant à télécharger une application de suivi en utilisant le lien inclus. Si le destinataire clique sur le lien, il est dirigé vers un site qui propose de télécharger l'application. L'application est un logiciel malveillant qui, une fois installé, vole les coordonnées de la victime et les télécharge sur un serveur distant. Ces informations sont ensuite utilisées par le serveur pour envoyer des messages supplémentaires et diffuser les SMS malveillants à ces contacts.

L'application malveillante utilise un composant Android appelé Accessibility pour surveiller ce qui se passe sur l'appareil et en prendre le contrôle. Par exemple, cela lui permet d'afficher des superpositions de fenêtres à haute priorité. En d'autres termes, le logiciel malveillant peut afficher quelque chose par-dessus tout ce qui est actuellement à l'écran. Par exemple, un faux portail bancaire affiché par-dessus l'activité d'une application bancaire légitime. 

Si l'utilisateur saisit ses informations d'identification sur cet écran superposé, il peut se les faire voler.

Ce composant connu sous le nom d'accessibilité est également exploité par le malware comme mécanisme d'autodéfense pour annuler toute tentative de désinstallation par les utilisateurs concernés, ce qui le rend difficile à supprimer des appareils infectés.

« Ce qui rend ce malware particulièrement efficace, c'est qu'il se déguise en services de livraison de colis postaux, en utilisant des textes du type 'Votre colis arrive, téléchargez l'application pour le suivre' ou 'Vous avez manqué la livraison de votre colis, téléchargez l'application pour le suivre', dont beaucoup d'utilisateurs peu méfiants seraient facilement victimes. Surtout dans la situation actuelle où une certaine forme de livraison à domicile est devenue le mode de fonctionnement standard pour de nombreuses entreprises pendant la pandémie », a déclaré Ondrej David.

Pendant la pandémie, davantage de personnes se sont habituées à faire des achats en ligne et il n'est pas rare de recevoir souvent des colis et des paquets. Deux tiers des consommateurs ont augmenté leurs activités d'achat en ligne par rapport à avant la pandémie. Les cybercriminels qui développent des logiciels malveillants de ce type profitent des tendances et des événements actuels pour s'assurer d'attirer le plus grand nombre possible de victimes potentielles.


Comment se protéger de FluBot ?


Avant toute chose, installez une solution antivirus qui prévient les menaces comme FluBot. Avast Antivirus for Android détecte et alerte les utilisateurs sur la menace qui les protège. Par ailleurs, si vous pensez être déjà touché par FluBot, vous pouvez installer l'application antivirus pour lancer un scan sur votre appareil afin d'identifier le malware. S'il est trouvé, il est conseillé de redémarrer votre appareil en mode sans échec et de désinstaller l'application détectée à partir de là. Avec cette étape, toutes les autres applications tierces seront également désactivées momentanément, mais elles seront de nouveau actives lors du prochain redémarrage régulier.

Si les utilisateurs pensent avoir été victimes d'un vol d'informations d'identification via cette attaque, il est conseillé de réinitialiser tous les mots de passe des services qu'ils pensent avoir été compromis, comme les applications bancaires et d'achat.

En outre, nous recommandons aux utilisateurs de prendre les mesures suivantes pour se protéger de FluBot et d'autres attaques de phishing mobile :

  • Ne cliquez pas sur les liens contenus dans les messages SMS. Surtout si un message vous demande d'installer des logiciels ou des apps sur vos appareils.
  • Soyez sceptique. Faites preuve de prudence avec tout SMS suspect. Si vous recevez une communication à laquelle vous ne vous attendiez pas, il est toujours préférable d'appeler vous-même l'entreprise, en utilisant les coordonnées fournies sur son site web légitime, pour confirmer le message reçu. Ne répondez pas directement à une communication suspecte. Commencez toujours une nouvelle communication via les canaux de service officiels de l'entreprise.
  • Interrogez le message. Il est important d'entraîner vos yeux à détecter les messages de phishing. Ceux-ci ont tendance à être génériques et à se répandre dans la masse, de même que les messages automatisés ou les messages présentant une offre qui semble trop belle pour être vraie (par exemple, comment gagner un nouveau smartphone ou hériter d'une grosse somme d'argent d'un membre de la famille inconnu).
  • N'installez pas d'applications ailleurs que dans les magasins d'applications officiels. La plupart des grandes compagnies de transport ont leurs propres applications, qui peuvent être téléchargées sur des sites de confiance comme Google Play ou Apple App Store. De même, réglez la sécurité de votre appareil mobile de manière à n'installer que des applications provenant de sources fiables comme Google Play ou Apple App Store.



Avast est un leader mondial de la cybersécurité et de la protection de la vie privée avec des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre produits antivirus, anti-ransomware et de protection de la vie privée.