Des chercheurs ont mis en garde les utilisateurs d'Android contre un nouveau logiciel malveillant qui vole les codes d'authentification à deux facteurs (2FA) de diverses applications. Identifié sous le nom de FluHorse, le logiciel malveillant attire les utilisateurs en se faisant passer pour des applications Android légitimes et propage ses infections par le biais de courriels d'hameçonnage. Les utilisateurs doivent éviter de cliquer sur les liens reçus par le biais d'e-mails ou de messages non sollicités pour ne pas être victimes de FluHorse.
Le logiciel malveillant Android FluHorse vole les codes 2FA
Selon un récent rapport de Check Point Research, son équipe de recherche a identifié un nouveau logiciel malveillant, “FluHorse”, qui cible les codes 2FA des utilisateurs d'Android.
En bref, le logiciel malveillant se fait passer pour diverses applis légitimes afin d'inciter les utilisateurs à les télécharger. Il s'agit notamment d'applis bancaires, d'applis de rencontres ou même d'applis de péage.
Pour atteindre les appareils cibles, les acteurs de la menace utilisent des courriels d'hameçonnage qui semblent mettre dans la boucle des entités très connues, comme des représentants du gouvernement, afin d'ajouter un sentiment de crédibilité aux courriels.
Une fois installé, le logiciel malveillant demande la permission d'accéder aux SMS, ce qui lui permet de voler les codes 2FA. À l'écran, l'application continue de montrer à l'utilisateur un message “système occupé” pour éviter de l'alerter. Cela laisse le temps à l'attaquant de scanner tous les messages.
Les deux fausses applis utilisées dans cette campagne ont récolté plus de 1 000 000 de téléchargements chacune. L'une d'entre elles imitait l'application de péage “ETC” et visait les utilisateurs taïwanais, tandis que l'autre imitait l'application bancaire “VPBank Neo”, s'efforçant de cibler les utilisateurs vietnamiens.
Ces applications ont copié la présentation exacte des applications originales (avec quelques différences mineures) afin de ne pas alarmer les utilisateurs victimes. Les applications malveillantes demandent aux utilisateurs victimes d'entrer leurs informations d'identification et les détails de leur carte de crédit. En ayant accès aux OTP ou aux codes 2FA, l'attaquant peut exploiter avec succès les données de paiement et de connexion des victimes, même si l'utilisateur a activé la fonction 2FA sur les applications légales respectives.
L'activité du logiciel malveillant remonte à mai 2022, ce qui permet de comprendre comment FluHorse a réussi à échapper à la détection pendant près d'un an. Les chercheurs ont attribué la structure moins compliquée du logiciel malveillant à sa stratégie d'évasion.
Check Point a conseillé aux utilisateurs d'éviter de télécharger des applications malveillantes en sécurisant leurs appareils avec un antimalware robuste.
Fais-nous part de tes réflexions dans les commentaires.