Une opération internationale d’application de la loi impliquant 11 pays a abouti au démantèlement d’une menace de malware mobile notoire appelée FluBot. « Ce malware Android s’est propagé de manière agressive par SMS, en volant des mots de passe, des coordonnées bancaires en ligne et d’autres informations sensibles à partir de smartphones infectés à travers le monde », a déclaré Europol dans un communiqué. L' »enquête complexe » comprenait des autorités d’Australie, de Belgique, de Finlande, de Hongrie, d’Irlande, de Roumanie, d’Espagne, de Suède, de Suisse, des Pays-Bas et des États-Unis. FluBot, également appelé Cabassous, est apparu dans la nature en décembre 2020, masquant son intention insidieuse derrière le vernis d’applications de suivi de colis apparemment anodines telles que FedEx, DHL et Correos. Il se propage principalement via des messages de smishing (alias hameçonnage par SMS) qui incitent les destinataires sans méfiance à cliquer sur un lien pour télécharger les applications contenant des logiciels malveillants.
Une fois lancée, l’application demanderait l’accès au service d’accessibilité d’Android pour siphonner furtivement les informations d’identification du compte bancaire et d’autres informations sensibles stockées dans les applications de crypto-monnaie. Pour aggraver les choses, le logiciel malveillant a exploité son accès aux contacts stockés dans l’appareil infecté pour propager davantage l’infection en envoyant des messages contenant des liens vers le logiciel malveillant FluBot. Les campagnes FluBot, bien que principalement un malware Android, ont également évolué pour cibler les utilisateurs d’iOS ces derniers mois, où les utilisateurs tentant d’accéder aux liens infectés sont redirigés vers des sites de phishing et des escroqueries par abonnement. « Cette infrastructure FluBot est désormais sous le contrôle des forces de l’ordre, mettant un terme à la spirale destructrice », a noté l’agence, ajoutant que la police néerlandaise avait orchestré la saisie le mois dernier. Selon le rapport sur le paysage des menaces mobiles de ThreatFabric pour le premier semestre 2022, FluBot était le deuxième cheval de Troie bancaire le plus actif derrière Hydra, représentant 20,9 % des échantillons observés entre janvier et mai.
« ThreatFabric a travaillé en étroite collaboration avec les forces de l’ordre sur l’affaire », a déclaré le fondateur et PDG Han Sahin à breachtrace. « C’est une grande victoire étant donné que les acteurs de la menace FluBot ont ou avaient l’une des stratégies les plus résilientes en matière de distribution et d’hébergement de leurs backends avec tunnel DNS via des services publics DNS sur HTTPS. Cette résilience backend dans l’hébergement et la façade C2 est ce qui rend les efforts de l’unité néerlandaise de lutte contre la criminalité numérique très impressionnants. » La société néerlandaise de cybersécurité a également noté que des échantillons de logiciels malveillants uniques développés par les opérateurs de FluBot se sont arrêtés après le 19 mai, coïncidant avec le retrait, ralentissant efficacement leurs « efforts de vermifugation ». « L’impact global [du démantèlement] sur le paysage des menaces mobiles est limité puisque FluBot n’est pas le cheval de Troie bancaire Android le plus puissant », a ajouté Sahin. « Exo, Anatsa, Gustuff, c’est un vrai problème pour tout utilisateur. La puissance derrière FluBot a toujours été [ses] nombres d’infections. »