Conform unei noi analize a Proofpoint, persoanele rău intenționate din spatele malware-ului bancar de pe platforma Android FluBot (aka Cabassous) s-au extins dincolo de Spania pentru a viza Marea Britanie, Germania, Ungaria, Italia și Polonia. S-a observat că numai campania în limba engleză folosește peste 700 de domenii unice, infectând aproximativ 7.000 de dispozitive din Marea Britanie.

În plus, mesaje SMS în limba germană și engleză au fost trimise utilizatorilor americani din Europa, despre care Proofpoint suspectează că ar putea fi rezultatul propagării malware-ului prin listele de contacte stocate pe telefoanele compromise. O campanie concertată care vizează SUA încă nu a fost detectată.

FluBot, un nou intrat în peisajul troienilor bancari, și-a început operațiunile la sfârșitul anului trecut, cu campanii care utilizează malware-ul care infectează peste 60.000 de utilizatori din Spania, potrivit unei analize publicate de Proactive Defense Against Future Threats (PRODAFT) în martie 2021. Se estimează că a adunat peste 11 milioane de numere de telefon de pe dispozitive, reprezentând 25% din populația totală din Spania.

Distribuite în principal prin phishing SMS (cunoscut și sub numele de smishing), mesajele se maschează ca un serviciu de livrare, cum ar fi FedEx, DHL și Correos, aparent notificând utilizatorilor starea lor de livrare a pachetului sau a expedierii, împreună cu un link pentru a urmări comanda, care, atunci când faceți clic, descarcă aplicații rău intenționate care au modulul FluBot criptat încorporat în ele.

„FluBot este un nou banking malware pentru Android care folosește o serie de atacuri pentru a efectua phishing pentru aplicații bazate pe webview”, au menționat cercetătorii. „Programul malware vizează în principal aplicațiile bancare mobile și cele pentru criptomonede, dar adună, de asemenea, o gamă largă de date despre utilizatori din toate aplicațiile instalate pe un anumit dispozitiv.”

La instalare, FluBot nu doar urmărește aplicațiile lansate pe dispozitiv, ci și suprapune paginile de autentificare ale aplicațiilor financiare cu variante malițioase special concepute de pe un server controlat de atacatori, proiectate cu scopul de a deturna acreditările, pe lângă recuperarea listelor de contacte, a mesajelor, apelurișor și notificărilor abuzând de serviciul Android Accessibility Service.

Deși autoritățile spaniole au arestat patru criminali suspectați de a fi în spatele campaniei FluBot, infecțiile au crescut, în timp ce în același timp au extins țările vizate pentru a include Japonia, Norvegia, Suedia, Finlanda, Danemarca și Olanda într-o perioadă scurtă de timp, așa după cum o arată ThreatFabric.

Răspândirea activității FluBot a determinat Oficiul Federal pentru Securitate Informațională (BSI) din Germania și Centrul Național de Securitate Cibernetică (NCSC) din Marea Britanie să emită alerte cu privire la atacurile în curs prin mesaje SMS frauduloase care îi înșeală pe utilizatori să instaleze „spyware care fură parole și alte date sensibile.”

„FluBot va continua să se răspândească într-un ritm destul de rapid, deplasându-se metodic de la țară la țară printr-un efort susținut de către persoanele rău intenționate,” au spus cercetătorii Proofpoint. „Atâta timp cât există utilizatori dispuși să aibă încredere într-un mesaj SMS neașteptat și să urmeze instrucțiunile oferite de persoanele rău intenționate, campanii precum acestea vor avea succes.”

Sursa: The Hacker News