Le malware bancaire Flubot utilise un faux avertissement de sécurité pour faire croire aux utilisateurs d'Android qu'ils ont déjà été infectés.

Le malware Flubot se propage par le biais de messages texte sur les téléphones Android, en utilisant des formulations qui changent constamment. L'équipe du CERT au Nouvelle-Zélande (CERT NZ) a prévenu que le fait de cliquer sur "installer la mise à jour de sécurité" déclenche en fait l'infection par Flubot.

Le texte d'arnaque se faisait passer pour une alerte d'une société de messagerie qui demandait aux utilisateurs de cliquer sur un lien ou de télécharger une application pour obtenir des informations sur la livraison d'un colis. La charge utile semble renvoyer le texte via le carnet d'adresses de l'utilisateur et demande également des informations bancaires.

Une fois déployé via SMS et phishing, le malware tentera de tromper les victimes en leur demandant des autorisations supplémentaires sur le téléphone lui accordant ainsi un accès au service "Android Accessibility", ce qui lui permet de cacher et exécuter des tâches malveillantes en arrière-plan.

Flubot prendra effectivement le contrôle de l'appareil infecté, accédant au passage aux informations bancaires et de paiement des victimes par le biais d'une page de phishing Webview téléchargée et superposée aux interfaces des applications légitimes de banque mobile et de crypto-monnaie. Il recueille également le carnet d'adresses et l'exfiltre vers son serveur de commande et de contrôle (les contacts étant ensuite envoyés à d'autres robots de spam Flubot), surveille les notifications système pour détecter l'activité des applications, lit les SMS et passe des appels téléphoniques.

En mars, l'organisme suisse de sécurité PRODAFT a déclaré que le botnet contrôlait environ 60 000 appareils qui collectaient les numéros de téléphone de 25 % des citoyens espagnols. Le malware va probablement se propager encore plus rapidement maintenant qu'il utilise un leurre qui semble encore plus efficace.