Une « souche » de logiciels malveillants infectant les appareils Android appelée FluHorse a été découverte par Check Recherche de points (via BleepingComputer) Le logiciel malveillant est diffusé par e-mail et volera les données de carte de crédit, les mots de passe et même les codes d’autorisation à deux facteurs (2FA). Les attaques ont été repérées en Asie de l’Est depuis 2022 et commencent généralement par un e-mail envoyé à une victime potentielle exigeant qu’un paiement immédiat soit effectué pour résoudre un problème avec un compte. L’e-mail comprend un lien redirigeant la victime vers de fausses versions de légitime applications. Ces fausses applications incluent ETC, qui est une application de péage à Taïwan, et l’application bancaire vietnamienne VPBank Neo, une application bancaire au Vietnam. Les versions réelles de chaque application ont chacune plus d’un million d’installations à partir du Google Play Store. Check Point a également découvert qu’une fausse version d’une véritable application de transport avec 100 000 installations est également utilisée, mais cette application n’a pas été nommée.
Applications imitées par le malware FluHorse. Crédit image Check Point Research
Pour détourner les codes 2FA envoyés, les trois applications demandent un accès SMS. Avec 2FA, un utilisateur peut ouvrir une application ou un site Web en saisissant un mot de passe et un code spécial qui est envoyé au téléphone de l’utilisateur par SMS. Les fausses applications copient les interfaces utilisateur des vraies applications, mais ne font pas grand-chose en dehors de la collecte des informations de l’utilisateur, y compris les données de carte de crédit. Ensuite, pour donner l’impression qu’un traitement réel est en cours, l’écran indique”le système est occupé”pendant 10 minutes. Ce qui se passe réellement, c’est que les codes 2FA sont volés avec des informations personnelles.
Comment fonctionne FluHorse
Selon Check Point, il s’agit d’une menace active et continue pour les utilisateurs d’Android et c’est Il est toujours préférable de ne pas divulguer d’informations personnelles telles que des numéros de carte de crédit et des numéros de sécurité sociale en ligne. Et ce n’est pas parce que cette attaque organisée a été repérée dans une autre région du monde que vous devez faire preuve de laxisme en matière de protection de vos données personnelles.