Europol a annoncé le 1er juin avoir démantelé le logiciel FluBot, un malware qui s’attaquait via SMS à des téléphones portables pour voler des informations.
Dans un communiqué en date du 1er juin, l’office de police Europol annonce avoir mis hors d’état de nuire le logiciel malveillant Flubot. « Une opération internationale d’application de la loi impliquant 11 pays a abouti à la suppression de l’un des logiciels malveillants mobiles les plus répandus à ce jour », affirme l’agence européenne de police criminelle située à La Haye aux Pays-Bas.
« Connu sous le nom de FluBot, ce logiciel malveillant Android s’est propagé de manière agressive par SMS, en volant des mots de passe, des coordonnées bancaires en ligne et d’autres informations sensibles à partir de smartphones infectés à travers le monde », ajoute-t-elle.
Une coopération internationale
Europol indique que cette opération « fait suite à une enquête complexe impliquant les autorités répressives d’Australie, de Belgique, de Finlande, de Hongrie, d’Irlande, d’Espagne, de Suède, de Suisse, des Pays-Bas et des États-Unis, avec la coordination de l’activité internationale menée par le Centre européen de lutte contre la cybercriminalité d’Europol (EC3 ) ».
L’agence européenne annonce que « L’enquête est en cours pour identifier les individus à l’origine de cette campagne mondiale de logiciels malveillants. »
Ce malware avait provoqué des incidents majeurs en Espagne et en Finlande. Il s’attaquait essentiellement aux téléphones Android, mais une dernière campagne a montré qu’il infectait également les iPhones.
« Cette souche de malware a pu se propager comme une traînée de poudre en raison de sa capacité à accéder aux contacts d’un smartphone infecté », explique Europol.
L’office de police indique avoir déconnecté dix mille victimes du réseau FluBot et empêché plus de 6,5 millions de SMS malveillants.
La technique du smishing
Ce malware utilisait en effet la technique du smishing. Tout commençait par un SMS qui annonçait du faux contenu derrière un lien contaminé. Si les utilisateurs cliquaient sur le lien, un écran apparaissait avec une demande d’installation d’une application inconnue. Dans ce cas, une fausse application de messagerie vocale était censée être nécessaire pour écouter le message vocal. Il s’agissait d’amener les utilisateurs à installer le cheval de Troie bancaire FluBot. Si la victime suivait les instructions, la fausse application de messagerie vocale (FluBot) se servait des autorisations d’accessibilité pour avoir un accès complet aux zones d’intérêt.
En cas d’accès accordé, FluBot collectait les contacts de la victime. Il utilisait ensuite l’application SMS pour continuer à diffuser des liens malveillants dans l’écosystème mobile, tout en volant des données et en les envoyant au serveur C&C. Il pouvait accéder aux mots de passe et coordonnées bancaires. Il profitait également des privilèges d’accessibilité pour rendre difficile la désinstallation de l’application par l’utilisateur.