Autrefois, les malwares (ou logiciels malveillants) ne touchaient que nos ordinateurs. Aujourd’hui, avec l’avènement du smartphone et son utilisation massive, les pirates informatiques ont appris à exploiter un certain nombre de failles spécifiques aux mobiles et à leur architecture logicielle. C’est le cas récemment d’un malware connu sous le nom de FluBot, qui infecte principalement les téléphones par téléchargement, notamment suite à un message texte prétendant provenir d’une société de livraison.
L’objectif de FluBot est de voler les mots de passe, les coordonnées bancaires et d’autres informations stockées sur votre téléphone. Détenteurs d’iPhone rassurez-vous, le logiciel n’infecte que le système d’exploitation Android, du moins pour le moment.
Le logiciel est donc installé par le biais de messages texte ou d’emails, prétendant provenir d’une société de livraison connue et demandant aux utilisateurs de cliquer sur un lien pour suivre la livraison d’un colis. Ce lien de phishing (hameçonnage) demande aux utilisateurs d’installer une application pour cela, mais cette dernière est en réalité un logiciel malveillant permettant de voler vos informations confidentielles.
FluBot accède également au carnet d’adresses des victimes, ce qui lui permet d’envoyer le message texte de phishing à tous les contacts et de propager davantage le malware. En résumé, un fonctionnement typique d’un virus informatique, dont on a l’habitude depuis les débuts de l’informatique.
Une propagation extrêmement rapide
Cependant, ce qui change fortement la donne aujourd’hui, c’est que nous utilisons les smartphones comme jamais il était possible auparavant d’utiliser tout dispositif électronique connecté. La plupart des gens y passent plusieurs heures par jour et les utilisent pour de nombreuses tâches administratives, ce qui rend la propagation de ce type de logiciel d’autant plus rapide.
Le National Cyber Security Centre (NCSC) du Royaume-Uni a publié des conseils de sécurité sur la manière d’identifier et de supprimer le logiciel malveillant FluBot, tandis que les fournisseurs d’accès dont Three et Vodafone ont également mis en garde les utilisateurs contre les attaques par SMS. Les messages prétendent le plus souvent provenir du service de livraison DHL, bien que les noms d’autres sociétés comme Asda, Amazon et Argos soient également utilisés.
Si un utilisateur d’Android clique sur le lien, il est dirigé vers un site web qui le conduira vers un autre site tiers pour télécharger un fichier APK (Android Package File) malveillant. Ces fichiers sont généralement bloqués par défaut afin de protéger les utilisateurs d’Android contre les attaques, mais les faux sites web fournissent des informations sur la manière de contourner ces protections pour permettre l’installation de FluBot.
Une fois installé, FluBot obtient toutes les autorisations nécessaires pour accéder et voler des informations sensibles, notamment des mots de passe, des coordonnées bancaires et d’autres informations personnelles, ainsi que la possibilité de se propager à d’autres personnes. C’est ce mécanisme d’utilisation des informations de contact qui permet à FluBot de se propager si rapidement.
Bien que le malware ne puisse infecter que les appareils Android, les utilisateurs d’Apple sont également invités à se méfier des messages texte les incitant à cliquer sur des liens concernant une livraison, car les sites web malveillants pourraient toujours, bien que d’une façon différente, être utilisés pour voler des informations personnelles.
Que faire pour se protéger ou en cas d’infection ?
Le NCSC a averti les utilisateurs qui reçoivent un SMS frauduleux de ne pas cliquer sur le lien contenu dans le message et de ne pas installer d’applications s’ils y sont invités. Il est par contre recommandé de transférer le message au 33700 (France) ou au 7726 (Canada), des services gratuits de signalement des spams fournis par les opérateurs téléphoniques, puis de le supprimer.
Si vous avez déjà cliqué sur le lien et téléchargé l’application, ne vous connectez surtout pas à d’autres comptes en ligne afin d’empêcher les attaquants de récolter davantage d’informations personnelles, puis effectuez une réinitialisation d’usine de votre appareil dès que possible. Vous devriez ensuite pouvoir restaurer les données de votre appareil via une sauvegarde, mais il est important d’éviter de le faire à partir de sauvegardes effectuées après l’installation du malware FluBot, car elles seront toujours infectées.
Il est également recommandé de modifier les mots de passe de tous les comptes auxquels vous vous êtes connecté depuis le téléchargement de l’application, ainsi que de tous les autres comptes utilisant le même mot de passe, afin d’empêcher les attaquants de continuer à y avoir accès. Afin d’éviter d’être victime d’attaques similaires, il est finalement conseillé de n’installer que des applications provenant de magasins d’applications officiels tels que l’App Store (Apple) ou le Google Play Store (Android).