D'après les chercheurs en sécurité informatique de BitDefender, deux malwares extrêmement dangereux continuent de circuler, des années après leur première apparition. Les logiciels malveillants FluBot et TeaBot se propagent activement via des centaines de milliers de SMS et des applications pourtant autorisées par le Google Play Store.

D'ordinaire, les malwares et les arnaques ont une durée de vie plutôt limitée. Une fois repérés par les chercheurs en sécurité informatique et contrés par d'éventuelles solutions, les pirates n'ont pas d'autres choix que de se rabattre sur d'autres méthodes. Néanmoins, certains logiciels malveillants signent et persistent, continuant de faire des victimes des années après leur première mise en circulation.

C'est notamment le cas des malware FluBot et TeaBot. Le premier se propage via des centaines de milliers de faux SMS qui invitent l'utilisateur à installer une fausse mise à jour Android. Ce n'est pas le seul appât utilisé, ces SMS prétextant également une livraison de colis, la nécessité de mettre Flash Player à jour, ou encore un message vocal manqué. Depuis début décembre 2021, les chercheurs en sécurité informatique de BitDefender ont intercepté plus de 100 000 SMS malveillants visant à diffuser FluBot dans de nombreux pays.

À lire également : Facebook : attention à l’arnaque “c’est toi sur cette vidéo ?”

Les malwares Android FluBot et TeaBot continuent de sévir

Quant à Teabot, ce malware a déjà fait parlé de lui en mai 2021. Il espionne notamment les SMS pour contrecarrer la double authentification et obtenir les codes pour se connecter à vos services bancaires. Les spécialistes de BitDefender ont trouvé une variante du malware dans une application de lecture de QR Codes disponible sur le Play Store et baptisée “QR Code Reader”. Après une enquête plus poussée, les chercheurs se sont aperçus que cette appli, qui cumule plus de 100 000 téléchargements, a diffusé pas moins de 17 variantes de TeaBot pendant plus d'un mois.

L'appli en-elle même n'est pas malveillante et elle offre les fonctionnalités attendues. Le code malveillant contenu dans l'appli a une empreinte minime, ce qui l'empêche d'être repérée par les systèmes de sécurité du Play Store. Lorsque l'utilisateur la lance, celle-ci démarre également un service en arrière-plan qui vérifie le code pays de l'opérateur de la victime. Si le pays est dans la liste des pirates, l'appli récupère le contexte d'un fichier de paramètres de GitHub à l'adresse suivante :

“raw.githubusercontent[.]com/isaacluten/qrbarcode/main/settings”

Selon BitDefender, ce fichier contient un lien différent du fichier du dépôt GitHub pointant vers la charge utile réelle à télécharger. Le rapport de BitDefender se termine également par une analyse de la répartition géographique des menaces. Après avoir ciblé majoritairement l'Australie, l'Allemagne et la Pologne, il semble que la Roumanie (72%), la Pologne (9,3 %) et les Pays-Bas (8,9%).

Source : BitDefender