Bezpieczeństwo IT - metody ochrony, Cyberzagrożenia, Główna, Ochrona przed złośliwym oprogramowaniem

FluBot Android Banking Malware szybko rozprzestrzenia się w całej Europie

Czas czytania: 3 min

Uwaga, użytkownicy Androida! Szkodliwe oprogramowanie bankowe (FluBot) zdolne do kradzieży poufnych informacji „szybko rozprzestrzenia się” w całej Europie. Prawdopodobnie kolejnym celem będą Stany Zjednoczone.

Nowe zagrożenie w systemach Android

Zgodnie z nową analizą przeprowadzoną przez Proofpoint, FluBot (aka Cabassous) rozszerzył swoją działalność poza Hiszpanię. Atakuje także Wielką Brytanię, Niemcy, Węgry, Włochy i Polskę. Zaobserwowano, że sama kampania anglojęzyczna wykorzystuje ponad 700 unikalnych domen, infekując około 7000 urządzeń w Wielkiej Brytanii.

Ponadto odnotowano wiadomości SMS w języku niemieckim i angielskim do użytkowników z europy przebywających w USA. Według firmy Proofpoint może to być wynikiem rozprzestrzeniania się złośliwego oprogramowania za pośrednictwem list kontaktów przechowywanych na zaatakowanych telefonach. Nie zaobserwowano jeszcze kampania wymierzonej bezpośrednio w mieszkańców USA.

FluBot, jeden z najnowszych trojanów bankowych. Rozpoczął swoją działalność pod koniec ubiegłego roku od zainfekowania ponad 60 000 użytkowników w Hiszpanii. Zgodnie z analizą opublikowaną przez Proactive Defense Against Future Threats (PRODAFT) w marcu 2021 roku.
Mówi się, że zgromadził ponad 11 milionów numerów telefonów z urządzeń, co stanowi 25% mieszkańców Hiszpanii.

Wiadomości są rozpowszechniane głównie za pośrednictwem phishingu SMS (czyli smishingu), w którym to bot podszywa się pod usługi kurierskie, takie jak FedEx, DHL i Correos, pozornie powiadamiając użytkowników o statusie ich paczki lub przesyłki wraz z linkiem do śledzenia zamówienia, który po kliknięciu pobiera złośliwą aplikacje, która ma wbudowany zaszyfrowany moduł FluBot.

fałszywa wiadomość od kuriera
fałszywa wiadomość od kuriera

Czym jest FluBot?

„FluBot to nowe złośliwe oprogramowanie bankowe dla systemu Android, które wykorzystuje ataki typu „overlay” do wyłudzania informacji w aplikacjach na podstawie widoku internetowego” – zauważyli naukowcy. „Szkodliwe oprogramowanie atakuje głównie bankowość mobilną i aplikacje kryptowalutowe. Gromadzi także szeroki zakres danych użytkowników ze wszystkich aplikacji zainstalowanych na danym urządzeniu”.

Po instalacji FluBot nie tylko skanuje aplikacje uruchamiane na urządzeniu, ale także nakłada strony logowania aplikacji finansowych. Odbywa się to na specjalnie spreparowane złośliwe warianty z serwera kontrolowanego przez atakującego, zaprojektowane w celu przejęcia danych uwierzytelniających, listy kontaktów, wiadomości  wykorzystując usługi ułatwień dostępu w Androidzie.

Władze hiszpańskie aresztowały czterech przestępców podejrzewanych o udział w atakach FluBot w zeszłym miesiącu. Od tego czasu wzrosła liczba infekcji, jednocześnie rozszerzając w krótkim czasie kraje docelowe o Japonię, Norwegię, Szwecję, Finlandię, Danię i Holandię, według najnowszych spostrzeżeń z ThreatFabric.

Zryw w działalności FluBot skłonił niemiecki Federalny Urząd Bezpieczeństwa Informacji (BSI) i brytyjskie National Cyber ​​Security Center (NCSC) do wysyłania alertów ostrzegających o trwających atakach za pośrednictwem fałszywych wiadomości SMS, które nakłaniają użytkowników do zainstalowania „oprogramowania szpiegującego kradnącego hasła i inne wrażliwe dane”.

„FluBot prawdopodobnie będzie nadal rozprzestrzeniał się w dość szybkim tempie. Przemieszczając się z kraju do kraju poprzez nieświadomych użytkowników” – stwierdzili naukowcy z Proofpoint. „Dopóki istnieją użytkownicy, którzy są skłonni zaufać nieoczekiwanej wiadomości SMS i postępować zgodnie z instrukcjami i wskazówkami hakerów, kampanie takie jak te nie odniosą sukcesu”.




Dodaj komentarz