DE | FR

Ce qui se cache derrière l'étrange message vocal que des milliers de Suisses reçoivent

Les utilisateurs suisses de téléphones mobiles reçoivent en ce moment des tas de SMS contenant des liens malveillants. Des criminels tentent d'inciter des victimes peu méfiantes à installer un cheval de Troie bancaire.
Diese Story ist auch auf Deutsch verfügbar. Zur Story
20.10.2021, 20:1421.10.2021, 09:08
Oliver Wietlisbach
Oliver Wietlisbach
Oliver Wietlisbach
Suivez-moi

Ces derniers temps, des milliers de Suisses reçoivent de bien étranges SMS sur leur smartphone. Dans ces messages, il est question d'un appel manqué ou d'un message vocal qui peut être écouté. Il s'agit, en vérité, d'un escamotage visant à installer le dangereux cheval de Troie Android FluBot. Voici tout ce qu'il faut savoir.

Comment le cheval de Troie s'introduit dans les smartphones

Ces derniers temps, des milliers de Suisses reçoivent des messages de ce type:

Image: watson

Pour écouter le message vocal, on doit ouvrir le lien qui se trouve dans le SMS:

Image: watson

On se retrouve sur un site web censé ressembler à celui de son propre opérateur de téléphonie, où on nous demande d'installer une nouvelle application de messagerie vocale

Comme le message vocal est dans un «format de haute qualité», vous ne pouvez l'écouter qu'avec une nouvelle application de messagerie vocale. (Ils ont le sens de l’humour, ces lascars!)
Comme le message vocal est dans un «format de haute qualité», vous ne pouvez l'écouter qu'avec une nouvelle application de messagerie vocale. (Ils ont le sens de l’humour, ces lascars!)

Sur les appareils Android, la victime est incitée à installer le fichier Voicemail.apk

Les entreprises comme Sunrise proposent toujours une nouvelle application dans le Play Store de Google (et au mieux dans les app stores de Samsung, Huawei, etc.), mais ne la distribuent jamais via un fichier .apk.
Les entreprises comme Sunrise proposent toujours une nouvelle application dans le Play Store de Google (et au mieux dans les app stores de Samsung, Huawei, etc.), mais ne la distribuent jamais via un fichier .apk.

Android bloque l'installation d'applications provenant de sources inconnues. Toutefois, les utilisateurs ont la possibilité de désactiver manuellement ce dispositif de protection. Ce qui est logique, car les utilisateurs doivent toujours avoir la possibilité d'installer des applications à partir d’autres App-stores ou de sites web fiables. C'est ainsi que fonctionne un Internet libre. Cependant, les criminels en profitent justement pour inciter leurs victimes à désactiver elles-mêmes ce dispositif de protection.

Les victimes sont ainsi amenées à croire qu'elles doivent télécharger une nouvelle application de messagerie vocale sur le site Web de leur fournisseur de téléphonie mobile. En réalité, il s'agit d'un dangereux cheval de Troie de banque en ligne. Cependant, il n'y a aucune raison de paniquer: si vous vous en tenez aux magasins d'applications officiels de Google, Samsung, Huawei ou d'autres fournisseurs dignes de confiance, vous n'attraperez pas ce cheval de Troie.

Le logiciel malveillant ne pouvant être installé sur les appareils iOS, le lien redirige les utilisateurs d'Iphone vers des sites frauduleux de phishing et de publicité. Des pièges à abonnements, des offres d'investissements financiers douteux ou d'autres logiciels malveillants s'y cachent.

Une fois le logiciel malveillant installé, la fausse application de « messagerie vocale » est configurée comme application SMS par défaut (à condition que la victime lui donne les autorisations nécessaires)

Une fois le cheval de Troie déguisé en application de messagerie vocale installé, les criminels prennent le contrôle de l'appareil

En quoi ce cheval de Troie est-il dangereux?

Le logiciel malveillant est le cheval de Troie FluBot, qui existe depuis fin 2020. Il s'empare des noms et des numéros de téléphone des contacts du carnet d'adresses, des SMS, des données de cartes de crédit et bancaires ainsi que d'autres informations privées.

FluBot a été observé pour la première fois à grande échelle, en Suisse, en juin 2021. La police cantonale de Zurich avait alors mis en garde les utilisateurs d'Android comme suit:

«Les escrocs prennent le contrôle de la messagerie du téléphone portable. Ils envoient ensuite un grand nombre de SMS à d'autres victimes potentielles aux frais de la victime. Pour ce faire, ils utilisent les coordonnées du téléphone portable.

Des SMS vers des destinations coûteuses et des numéros surtaxés ont également été observés. En outre, FluBot vise les applications de paiement par carte de crédit et tente d'exploiter les données personnelles de la victime.

Il intercepte également les entrées sur Biance, Coinbase, Blockchain.com, Wallet, et Gmail. »

Afin de poursuivre sa diffusion, FluBot s'empare des contacts stockés dans le carnet d'adresses de la victime. Cependant, les criminels cherchent, avant tout, l'argent des gens qui ne se doutent de rien. Pour ce faire, le cheval de Troie intercepte les accès à des applications telles que l'e-banking, les formulaires de carte de crédit, les portefeuilles Bitcoin ou même des applications de messagerie importantes comme Gmail.

Le cheval de Troie affiche des masques sur des applications de paiement par carte de crédit ou Gmail et tente d'accéder aux données personnelles de la victime

Toute personne qui entre son mot de passe ici l'envoie directement aux criminels.
Toute personne qui entre son mot de passe ici l'envoie directement aux criminels.

Pourquoi le cheval de Troie se propage rapidement

Les criminels ont probablement commencé par diffuser leur cheval de Troie via des numéros jetables qui simulent un expéditeur suisse. Si FluBot réussit à se nicher sur les smartphones, il se propage comme un virus en envoyant des SMS de spam aux contacts du carnet d'adresses. Etant donné que, du point de vue du destinataire, le SMS provient d'un numéro connu, le risque que d'autres victimes tombent dans le panneau augmente. Certains de ces messages s’adressent même personnellement au destinataire. Cela inspire confiance et augmente le risque que d'autres appareils soient infectés par ces logiciels malveillants.

En outre, FluBot est conçu de telle manière qu'il est difficile pour les fournisseurs de bloquer complètement sa propagation, comme l'expliquent les experts en sécurité informatique de Switch dans un article de blog. Toutefois, si les SMS de spam sont signalés, l'accès aux sites web malveillants peut être bloqué assez rapidement par les fournisseurs. En outre, ces SMS sont ainsi reconnus par Google et font l'objet d'un avertissement.

La vague de spam actuelle étant désormais connue des fournisseurs, les SMS suspects font l'objet d'un avertissement

Les fournisseurs bloquent les liens nuisibles dès qu'une nouvelle vague d'attaques est détectée, mais l'expérience montre que les criminels reviennent après quelques semaines.
Les fournisseurs bloquent les liens nuisibles dès qu'une nouvelle vague d'attaques est détectée, mais l'expérience montre que les criminels reviennent après quelques semaines.

Le cheval de Troie FluBot est actif dans plusieurs pays. Les criminels font preuve de pas mal d'astuces pour tenter de piéger les utilisateurs de téléphones portables. Récemment, par exemple, un cheval de Troie s'est fait passer pour une mise à jour de sécurité pour Android. FluBot avertit les utilisateurs d'une prétendue infection par un cheval de Troie. Toute personne qui installe cette prétendue mise à jour se fait pirater.

Le cheval de Troie FluBot se fait passer pour une mise à jour de sécurité

Pourquoi les spammeurs ont-ils mon numéro de téléphone?

Quand le cheval de Troie a atteint une certaine propagation dans un pays, il est probable, la plupart du temps, que votre numéro ait été déniché dans un téléphone portable infecté. L'effet boule de neige en somme.

Votre numéro de téléphone et d'autres informations, telles que le nom ou l'adresse, peuvent également provenir de fuites de données antérieures de Facebook, LinkedIn, Clubhouse, etc. Il est également possible que les criminels génèrent au hasard des numéros de téléphone mobile suisses et les essaient en masse.

Que faire si l’on reçoit un SMS de spam?

  • Supprimer ou ignorer le SMS.
  • Au mieux, le signaler au Centre national de cybersécurité (NCSC). Le formulaire de rapport est disponible sur le site de la Confédération: par ici 👈.

Que peuvent faire les victimes?

La police conseille:

  • De réinitialiser le téléphone.
  • D’informer votre opérateur.
  • De faire bloquer votre carte de crédit et en commander une nouvelle.
  • De modifier vos informations d'identification pour les services de paiement en crypto-monnaies que vous utilisez depuis un autre appareil.
  • Si vous utilisez Gmail, modifiez les informations d'identification depuis un autre appareil.

Article traduit de l'allemand par Anne Castella

En parlant de piratage, vous saviez qu'il était facile de manipuler le certificat Covid suisse? 👇

Et sinon, ce téléphone a vécu une sacrée aventure

Nos meilleurs articles sur le cybercrime en Suisse

Rolle a été piratée: des gigaoctets de données disponibles sur le darknet

Link zum Artikel

On a fouillé le butin des hackers de Comparis et Matisa

Link zum Artikel

Comparis a versé la rançon à ses hackers. Mais est-ce la bonne solution?

Link zum Artikel

Après le piratage, Rolle agit mais d'autres communes sont menacées

Link zum Artikel

Après la cyberattaque de Rolle, «il y a urgence» à agir, crient les députés

Link zum Artikel

Les hackers de Rolle «s'attaqueront à d'autres villes suisses»

Link zum Artikel

Les hackers menacent la Suisse, voici comment se défendre

Link zum Artikel
Montrer tous les articles
Harcèlement à la RTS: deux salariés réintégrés après avoir été suspendus
Suite à des enquêtes distinctes, deux collaborateurs précédemment suspendus pour harcèlement présumé, réintègrent la Radio Télévision Suisse.

Deux collaborateurs de la RTS, suspendus suite à des soupçons de harcèlement, ont été réintégrés dans l’entreprise dernièrement, a appris watson auprès de diverses sources. Une information confirmée par Sophie Balbo, porte-parole de la RTS.

L’article