Comment supprimer FluBot d'un appareil infecté ?
Écrit par Tomas Meskauskas le (mis à jour)
Quel type de maliciel est FluBot ?
FluBot est le nom d'un maliciel qui cible les smartphones Android. Les cybercriminels distribuent FluBot via des messages SMS, qu'ils envoient (au moins dans trois langues différentes telles que l'allemand, le polonais et le hongrois) avec des liens pour télécharger des sites Web pour une fausse application FedEx.
Ces sites Web téléchargent un fichier APK malveillant (fichier de package Android) conçu pour installer le maliciel bancaire FluBot.
FluBot en détail
Comme mentionné, les cybercriminels distribuent FluBot via des messages SMS. Ils envoient des messages (dans différentes langues) contenant un faux site Web de suivi des envois conçu pour télécharger un fichier APK, qui a une apparence similaire à celle du programme d'installation de l'application FedEx.
Lors de l'installation, la fausse application FedEx (application malveillante FluBot) demande diverses autorisations. Par exemple, pour lire des contacts, écrire, lire et envoyer des messages SMS, lire l'état du téléphone, garder l'appareil éveillé, créer des notifications et les publier à l'aide de la fonction startForeground.
Il demande également l'autorisation de passer des appels téléphoniques sans passer par l'interface utilisateur de Dialer, de supprimer des packages, d'autoriser l'interrogation de toute application normale installée sur l'appareil et d'autoriser les applications à ouvrir des sockets réseau.
FluBot peut recevoir des commandes via un serveur de commande et de contrôle (C&C), y compris des commandes pour désinstaller des applications, bloquer la carte, télécharger des messages SMS, ouvrir des URL (adresses de sites Web), extraire des listes de contacts, désactiver Google Play Protect et diverses autres commandes.
FluBot est un maliciel bancaire ciblant les utilisateurs de différents pays. L'un des moyens utilisés par le maliciel pour voler des données sensibles consiste à afficher des fenêtres demandant de fournir les détails de la carte de crédit.
De cette façon, les cybercriminels utilisent FluBot pour amener les victimes à fournir des informations sensibles qui pourraient être utilisées pour voler des identités, effectuer des achats et des transactions frauduleux, etc. Ils peuvent également l'utiliser pour extraire d'autres informations personnelles telles que, par exemple, les identifiants de connexion (noms d'utilisateur, adresses courriel, mots de passe).
| Nom | Virus FluBot |
| Type de menace | Maliciel Android, application malveillante, application indésirable. |
| Noms de détection (fedex.apk) | Avast-Mobile (Android:Evo-gen [Trj]), BitDefenderFalx (Android.Trojan.Banker.TW), ESET-NOD32 (une variante d'Android/TrojanDropper.Agent.HKE), Kaspersky (HEUR:Backdoor.AndroidOS.Polph .c), Liste complète (VirusTotal). |
| Domaines associés | cssincronbucuresti[.]ro, windjey[.]com, gispert[.]pt |
| Noms de détection (cssincronbucuresti[.]ro) | Fortinet (Hameçonnage), PREBYTES (maliciel), Liste complète (VirusTotal). |
| Noms de détection (windjey[.]com) | Dr.Web (maliciel), Fortinet (maliciel), PREBYTES (maliciel), Liste complète (VirusTotal). |
| Symptômes | L'appareil fonctionne lentement, les paramètres système sont modifiés sans l'autorisation des utilisateurs, des applications douteuses apparaissent, l'utilisation des données et de la batterie augmente considérablement, les navigateurs redirigent vers de faux sites Web, des publicités intrusives sont diffusées, des pertes monétaires, des problèmes de confidentialité en ligne, des comptes personnels volés. |
| Modes de diffusion | Ingénierie sociale, messages SMS, faux site Web FedEx. |
| Dommages | Informations personnelles volées (messages privés, identifiants/mots de passe, etc.), performances réduites de l'appareil, batterie épuisée rapidement, vitesse Internet réduite, pertes de données énormes, pertes monétaires, identité volée (les applications malveillantes peuvent abuser des applications de communication). |
| Suppression des maliciels (Android) | Pour éliminer les infections de maliciels, nos chercheurs en sécurité recommandent d'analyser votre appareil Android avec un logiciel anti-programme malveillant légitime. Nous recommandons Avast, Bitdefender, ESET ou Malwarebytes. |
FluBot en général
Les cybercriminels utilisent une fausse application FedEx pour diffuser le maliciel bancaire FluBot. Étant donné que ce maliciel peut accéder à la liste de contacts, télécharger et envoyer des messages, les cybercriminels peuvent le propager davantage en utilisant des numéros collectés et en envoyant des messages SMS concernant des notifications de FedEx avec un lien de site Web malveillant.
D'autres exemples de maliciels Android sont Oscorp, ThiefBot et Basbanke.
Comment FluBot a-t-il infiltré mon appareil ?
Comme mentionné ci-dessus, FluBot est distribué via un faux site Web FedEx. Les utilisateurs d'Android reçoivent un lien vers ce site Web par SMS prétendant être une notification de FedEx concernant le colis censé arriver. Les cybercriminels ciblent les utilisateurs vivant dans différents pays (par exemple, l'Allemagne, la Pologne, la Hongrie).
Notez également que les maliciels peuvent être distribués par courriel (pièces jointes malveillantes, liens vers des sites Web dans les courriels), de fausses mises à jour de logiciels, des outils de "craquage", des téléchargeurs tiers, des réseaux Peer-to-Peer et d'autres sources douteuses pour télécharger des fichiers et des programmes .
En fait, les méthodes de distribution susmentionnées sont plus susceptibles d'être utilisées pour inciter les utilisateurs à installer des maliciels sur leurs ordinateurs, plutôt que sur leurs appareils mobiles.
Comment éviter l'installation de maliciels
Un logiciel doit être téléchargé à partir de sources légitimes (par exemple, des pages ou plates-formes officielles). Il n'est jamais sûr d'utiliser des pages non officielles ou d'autres sources pour télécharger des fichiers ou des applications.
Les messages électroniques non pertinents contenant des pièces jointes ou des liens vers des sites Web ne doivent pas être approuvés, surtout s'ils proviennent d'un expéditeur inconnu. Les cybercriminels utilisent souvent des courriels de ce type pour diffuser des maliciels (ils encouragent les utilisateurs à ouvrir la pièce jointe ou à cliquer sur un lien fourni).
Les programmes installés doivent être mis à jour et activés à l'aide des outils fournis par leurs développeurs officiels. Les outils tiers non officiels sont souvent malveillants. De plus, il est illégal de contourner l'activation de tout logiciel sous licence à l'aide d'outils de "craquage" ou de logiciels piratés.
De plus, votre appareil doit être équipé d'un logiciel antivirus ou anti-logiciel espion réputé - utilisez ce logiciel pour analyser l'appareil régulièrement.
Capture d'écran du faux site Web de FedEx :
Capture d'écran du SMS allemand :
Texte dans ce message :
Ihr Paket kommt an, verfolgen Sie es hier: -
Capture d'écran du SMS hongrois :
Texte dans ce message :
Megerkezett a csomagja, kovesse nyomon itt: -
Capture d'écran du SMS polonais :
Texte dans ce message :
FedEx: Twoja paczka przybywa, sledz tutaj: -
Captures d'écran des boîtes de dialogue d'installation de FluBot :
Mise à jour du 13 août 2021 - La portée du maliciel FluBot s'est étendue à toute l'Europe, mais son exploitation a récemment atteint l'Australie. Les méthodes et les fonctionnalités de prolifération du programme malveillant n'ont pas subi de changements significatifs. FluBot fonctionne toujours en se superposant aux écrans des victimes avec de fausses fenêtres de connexion de diverses applications bancaires en ligne.
Au moment de la recherche, il ciblait les banques australiennes suivantes : Bank Australia, Bank of Melbourne, BankSA, CommBank, Great Southern Bank Australia, HSBC Australia, National Australia Bank, St. George Bank, Suncorp et UBank.
Captures d'écran des fausses fenêtres de connexion affichées par le maliciel FluBot :
Capture d'écran d'un faux message d'avertissement utilisé pour diffuser le maliciel FluBot. Les sites Web malveillants affichent cet avertissement pour inciter les utilisateurs à installer FluBot lui-même, plutôt qu'une mise à jour de sécurité censée les protéger.
Texte présenté dedans :
Your device is infected with the FluBot malware
Android has detected that your device has been infected.
FluBot is an Android spyware that aims to steal financial login and password data from your device.
You must install an Android security update to remove FluBot.
[Install security update]
If a window appears preventing the installation, select "settings" and enable the installation of unknown apps.
Menu rapide:
- Introduction
- Comment supprimer l'historique de navigation du navigateur Web Chrome ?
- Comment désactiver les notifications du navigateur dans le navigateur Web Chrome ?
- Comment réinitialiser le navigateur Web Chrome ?
- Comment supprimer l'historique de navigation du navigateur Web Firefox ?
- Comment désactiver les notifications du navigateur dans le navigateur Web Firefox ?
- Comment réinitialiser le navigateur Web Firefox ?
- Comment désinstaller des applications potentiellement indésirables et/ou malveillantes ?
- Comment démarrer l'appareil Android en "Mode sans échec" ?
- Comment vérifier l'utilisation de la batterie de diverses applications ?
- Comment vérifier l'utilisation des données de diverses applications ?
- Comment installer les dernières mises à jour logicielles ?
- Comment réinitialiser le système à son état par défaut ?
- Comment désactiver les applications qui ont des privilèges d'administrateur ?
Supprimer l'historique de navigation du navigateur Web Chrome :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant ouvert.
Cliquez sur "Effacer les données de navigation", sélectionnez l'onglet "AVANCÉ", choisissez la plage de temps et les types de données que vous souhaitez supprimer et cliquez sur "Effacer les données".
[Retour à la Table des Matières]
Désactiver les notifications du navigateur dans le navigateur Web Chrome :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Paramètres" dans le menu déroulant ouvert.
Faites défiler jusqu'à ce que vous voyiez l'option "Paramètres du site" et Cliquez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option "Notifications" et cliquez dessus.
Recherchez les sites Web qui fournissent des notifications de navigateur, cliquez dessus et sur "Effacer et réinitialiser". Cela supprimera les autorisations accordées à ces sites Web pour envoyer des notifications, cependant, une fois que vous revisitez le même site, il peut demander à nouveau l'autorisation.
Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site ira dans la section "Bloqué" et ne vous demandera plus d'autorisation).
[Retour à la Table des Matières]
Réinitialiser le navigateur Web Chrome :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler jusqu'à ce que vous trouviez l'application "Chrome", sélectionnez-la et cliquez sur l'option "Stockage".
Cliquez sur "GÉRER LE STOCKAGE", puis sur "EFFACER TOUTES LES DONNÉES" et confirmez l'action en appuyant sur "OK". Notez que la réinitialisation du navigateur éliminera toutes les données stockées. Par conséquent, tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres autres que ceux par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites Web.
[Retour à la Table des Matières]
Supprimer l'historique de navigation du navigateur Web Firefox :
Cliquez sur le bouton "Menu" (trois points dans le coin supérieur droit de l'écran) et sélectionnez "Historique" dans le menu déroulant ouvert.
Faites défiler jusqu'à ce que vous voyiez "Effacer les données privées" et cliquez dessus. Sélectionnez les types de données que vous souhaitez supprimer et cliquez sur "EFFACER LES DONNÉES".
[Retour à la Table des Matières]
Désactiver les notifications du navigateur dans le navigateur Web Firefox :
Visitez le site Web qui envoie les notifications du navigateur, cliquez sur l'icône affichée à gauche de la barre d'URL (l'icône ne sera pas nécessairement un "Verrou") et sélectionnez "Modifier les paramètres du site".
Dans la fenêtre pop-up ouverte, activez l'option "Notifications" et cliquez sur "EFFACER".
[Retour à la Table des Matières]
Réinitialiser le navigateur Web Firefox :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler jusqu'à ce que vous trouviez l'application "Firefox", sélectionnez-la et cliquez sur l'option "Stockage".
Cliquez sur "EFFACER LES DONNÉES" et confirmez l'action en appuyant sur "SUPPRIMER". Notez que la réinitialisation du navigateur éliminera toutes les données stockées à l'intérieur. Par conséquent, tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres autres que ceux par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites Web.
[Retour à la Table des Matières]
Désinstaller les applications potentiellement indésirables et/ou malveillantes :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Applications" et cliquez dessus.
Faites défiler jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et cliquez sur "Désinstaller". Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, un message d'erreur vous est demandé), vous devez essayer d'utiliser le "Mode sans échec".
[Retour à la Table des Matières]
Démarrer l'appareil Android en "Mode sans échec" :
Le "Mode sans échec" du système d'exploitation Android désactive temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui empêchent les utilisateurs de le faire lorsque l'appareil fonctionne "normalement").
Cliquez sur le bouton "Power" et maintenez-le enfoncé jusqu'à ce que vous voyiez l'écran "Power off". Cliquez sur l'icône "Éteindre" et maintenez-la enfoncée. Après quelques secondes, l'option "Mode sans échec" apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.
[Retour à la Table des Matières]
Vérifier l'utilisation de la batterie de diverses applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Maintenance de l'appareil" et cliquez dessus.
Cliquez sur "Batterie" et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour utiliser le moins d'énergie possible afin de fournir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.
[Retour à la Table des Matières]
Vérifier l'utilisation des données de diverses applications :
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Connexions" et cliquez dessus.
Faites défiler jusqu'à ce que vous voyiez "Utilisation des données" et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Par conséquent, une utilisation importante des données peut indiquer la présence d'une application malveillante.
Notez que certaines applications malveillantes peuvent être conçues pour fonctionner lorsque l'appareil est connecté à un réseau sans fil uniquement. Pour cette raison, vous devez vérifier l'utilisation des données mobiles et Wi-Fi.
Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous conseillons fortement de la désinstaller dès que possible.
[Retour à la Table des Matières]
Installer les dernières mises à jour logicielles :
Maintenir un logiciel à jour est une bonne pratique en matière de sécurité des appareils. Les fabricants d'appareils publient en permanence divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues pouvant être abusés par les cybercriminels.
Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Mise à jour du logiciel" et cliquez dessus.
Cliquez sur "Télécharger les mises à jour manuellement" et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option "Télécharger les mises à jour automatiquement" - cela permettra au système de vous avertir lorsqu'une mise à jour est publiée et/ou de l'installer automatiquement.
[Retour à la Table des Matières]
Réinitialisez le système à son état par défaut :
Effectuer une "réinitialisation d'usine" est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres système par défaut et de nettoyer l'appareil en général.
Gardez à l'esprit, cependant, que toutes les données de l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, pas sur la carte SIM), les messages SMS, etc. C'est-à-dire que l'appareil sera restauré à son état d'usine.
Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "À propos du téléphone" et cliquez dessus.
Faites défiler jusqu'à ce que vous voyiez "Réinitialiser" et cliquez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
"Réinitialiser les paramètres" - restaurez tous les paramètres système par défaut ;
"Réinitialiser les paramètres réseau" - restaure tous les paramètres liés au réseau par défaut ;
"Réinitialisation des données d'usine" - réinitialise l'ensemble du système et supprime complètement toutes les données stockées ;
[Retour à la Table des Matières]
Désactiver les applications qui ont des privilèges d'administrateur :
Si une application malveillante obtient des privilèges de niveau administrateur, elle peut sérieusement endommager le système. Pour garder l'appareil aussi sûr que possible, vérifiez toujours quelles applications ont de tels privilèges et désactivez celles qui ne le devraient pas.
Allez dans "Paramètres", faites défiler vers le bas jusqu'à ce que vous voyiez "Écran de verrouillage et sécurité" et cliquez dessus.
Faites défiler jusqu'à ce que vous voyiez "Autres paramètres de sécurité", cliquez dessus, puis cliquez sur "Applications d'administration de l'appareil".
Identifiez les applications qui ne devraient pas avoir de privilèges d'administrateur, cliquez dessus, puis sur "DÉSACTIVER".
Foire Aux Questions (FAQ)
Mon appareil est infecté par le maliciel FluBot, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Il n'est pas nécessaire d'effectuer un formatage pour se débarrasser de FluBot.
Quels sont les plus gros problèmes que les maliciels peuvent causer ?
Un maliciel peut être utilisé pour voler des identités, effectuer des achats et des transactions frauduleux, détourner des comptes en ligne, inciter d'autres utilisateurs à infecter leurs appareils avec d'autres maliciels.
Quel est le but du maliciel FluBot ?
Il semble que le but de ce maliciel est de voler les détails de la carte de crédit. En outre, il pourrait être utilisé pour extraire les informations de connexion (comme les noms d'utilisateur, les adresses courriel, les mots de passe) et d'autres informations sensibles.
Comment le maliciel FluBot a-t-il infiltré mon appareil ?
FluBot est distribué via un faux site Web FedEx que les cybercriminels envoient aux victimes potentielles par SMS.
!Remarquable!
▼ Montrer la discussion