La campagne actuelle de chevaux de Troie bancaires cache des méthodes d'attaque derrière un nouveau contenu supposé. Les experts de Bitdefender étudient les nouvelles variantes des chevaux de Troie bancaires FluBot et TeaBot, qui ciblent les smartphones en Allemagne.
Les experts de Bitdefender Labs surveillent les nouvelles variantes des chevaux de Troie bancaires FluBot et TeaBot depuis décembre 2021. Plus de 100.000 2021 SMS malveillants ont été enregistrés dans la seule télémétrie Bitdefender au cours de cette période. Un foyer important des attentats de décembre 32,23 était l'Allemagne avec XNUMX %. Seule l'Australie a été plus durement touchée. Les acteurs criminels ont maintenant adapté leurs campagnes et attirent maintenant les gens avec du contenu soi-disant nouveau. Dans le même temps, ils déplacent l'orientation des expéditions entre différents pays et fuseaux horaires. L'objectif principal des attaques récentes sont les pays européens.
Fonctionnalités éprouvées avec le phishing
Divers sujets SMS supposés chez FluBot (image : Bitdefender).
Les chevaux de Troie bancaires tels que FluBot, TeaBot ou les SMS frauduleux avec le sujet alléchant "Est-ce que c'est toi dans la vidéo ?" sont des exemples de campagnes de phishing à long terme que les opérateurs criminels rejouent périodiquement encore et encore. L'objectif est toujours le même : il s'agit de lire des informations sur les services bancaires en ligne, les SMS, les contacts ou d'autres données privées à partir d'appareils infectés.
Les types de logiciels malveillants offrent un arsenal de commandes à cette fin. Grâce à eux, les pirates s'arrangent facilement pour qu'un serveur de commande et de contrôle envoie divers types de contenu sous forme de SMS. Les domaines hôtes du dropper restent les mêmes. Cela permet aux cybercriminels d'attaquer les clients de différentes banques les uns après les autres et d'adapter le contenu et les fonctionnalités.
FluBot Bait : SMS, messagerie, hameçonnage
Distribution de FluBot en décembre 2021 (Image : Bitdefender).
Le contenu principal des SMS malveillants, que les auteurs ont diffusé avec le malware FluBot, sont de supposés messages de services de colis (51,85%), suivis d'un sujet avec la question : "C'est toi sur la vidéo ?" (25,03%) ( voir figure 1). Ce phishing bien connu, auparavant effectué via Facebook Messenger, fait maintenant partie d'une campagne de phishing FluBot. Les victimes reçoivent d'abord un SMS avec le sujet. Afin de pouvoir visionner la vidéo par la suite, ils sont invités à installer une supposée mise à jour du flash ou du système d'exploitation, puis reçoivent le cheval de Troie bancaire.
Les fausses mises à jour du navigateur, les messages vocaux et les mises à jour du système d'exploitation sont moins courantes. Les fausses applications (même les fausses applications antivirus) ou même le contenu pour adultes sont moins susceptibles d'être un crochet pour FluBot. Frappant : le contenu Corona ne joue actuellement aucun rôle avec seulement 0,09 %.
Modification des zones d'expédition
Répartition géographique de FluBot depuis décembre 2021 (Image : Bitdefender).
Les opérateurs FluBot changent leurs zones cibles en très peu de temps - souvent après quelques jours seulement. Outre l'Australie, la campagne a également été active en Allemagne (deuxième place avec 2%), en Espagne, en Italie et dans d'autres pays européens en décembre.
Depuis janvier, l'attention s'est de plus en plus déplacée vers la Pologne, les Pays-Bas et la Roumanie. Globalement, malgré la baisse, l'Allemagne est restée à la deuxième place des zones de distribution sur les deux derniers mois avec une part de 17,91%.
TeaBot distribue de fausses applications et codes QR - également via Google Ads
À l'aide de ses données de télémétrie, Bitdefender Labs a observé qu'une nouvelle « application de scanner QR Code Reader » malveillante a été téléchargée plus de 100.000 17 fois en XNUMX mois dans XNUMX variantes différentes via Google Play. Il s'agit très probablement d'un compte-gouttes TeaBot hautement crypté. L'attaque TeaBot se caractérise par l'offre d'applications supposées utiles dans le Google Play Store. Alternativement, il se déguise en une fausse version d'applications populaires, puis installe le logiciel malveillant en tant que compte-gouttes lorsqu'il est téléchargé. L'application QR scanner se répand principalement au Royaume-Uni, et même via Google Ads également.
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de