Une entreprise suisse de cybersécurité PRODAFT a déclaré que le malware FluBot Android dernièrement découvert usurpait l’identité d’une application bancaire mobile Android dans le but de dessiner de fausses vues Web sur ses applications cibles et voler les informations privées des utilisateurs. Ce malware a été découvert par ThreatFabric en Janvier 2021.

D’après les chercheurs, le logiciel malveillant se base de manière principale sur le vol des détails de carte de crédit ou des informations d’identification bancaire en ligne, en plus des données personnelles. Celui-ci se distribue par SMS et arrive à écouter les notifications entrantes, passer des appels, lire ou écrire des messages SMS et transmettre la liste complète des contacts du téléphone à son centre de contrôle. Le logiciel malveillant a été nommé FluBot par les chercheurs à cause de la méthode grippale de son développement et sa propagation. FluBot infecte les appareils Android en apparaissant comme des applications FedEx, DHL, Correos et Chrome et oblige l’utilisateur sans méfiance à modifier les paramètres d’accessibilité sur l’appareil pour qu’il maintienne la persistance sur l’appareil. En plus de ça, il télécharge de faux écrans de connexions de différentes banques connues, ce qui ne laisse pas beaucoup de place aux soupçons.

Quand l’utilisateur introduit ses données de connexion sur les fausses pages, les informations sont instantanément transmises au centre de contrôle du logiciel malveillant et les opérateurs de logiciels malveillants peuvent facilement l’exploiter. Le malware FluBot intercepte tous les OTP (mots de passe à usage unique) liés à la banque en remplaçant l'application SMS par défaut sur l'appareil ciblé. Par conséquent, il devient capable de recevoir des clés d'accès envoyées par SMS. De plus, il envoie des messages SMS similaires à d'autres contacts pour les inciter à télécharger la fausse application.