Вредоносная программа Flubot переключилась на новую и, вероятно, более эффективную приманку для компрометации устройств Android, теперь пытаясь обманом заставить своих жертв заразить себя с помощью поддельных обновлений безопасности, предупреждающих их о заражении Flubot.
Как ранее сегодня предупредила новозеландская группа реагирования на компьютерные чрезвычайные ситуации (CERT NZ), сообщение на новой странице установки Flubot - это всего лишь приманка, призванная вызвать чувство срочности и подтолкнуть потенциальных целей к установке вредоносных приложений.
«Ваше устройство заражено вредоносной программой FluBot®. Android обнаружил, что ваше устройство заражено», - говорится на новой странице установки Flubot.
«FluBot - это шпионское ПО для Android, целью которого является кража данных финансового входа и пароля с вашего устройства. Вы должны установить обновление безопасности Android, чтобы удалить FluBot».
Потенциальным жертвам также предлагается разрешить установку неизвестных приложений, если они предупреждены о том, что вредоносное приложение не может быть установлено на их устройство.
«Если вы видите эту страницу, это не означает, что вы заражены Flubot, однако, если вы будете следовать ложным инструкциям с этой страницы, она БУДЕТ заразить ваше устройство», - пояснил CERT NZ .
SMS-сообщения, используемые для перенаправления целей на эту страницу установки, связаны с ожидающими или пропущенными доставками посылок или украденными фотографиями, загруженными в Интернет.
Это банковское вредоносное ПО (также известное как Cabassous и Fedex Banker ) активно с конца 2020 года и использовалось для кражи банковских учетных данных, платежной информации, текстовых сообщений и контактов с взломанных устройств.
До сих пор Flubot распространялся на другие телефоны Android , рассылая текстовые сообщения контактам, украденным с уже зараженных устройств, и давая указания целям установить вредоносные приложения в виде APK-файлов, доставляемых через серверы, контролируемые злоумышленником.
После развертывания с помощью SMS и фишинга вредоносная программа попытается обманом заставить жертв предоставить дополнительные разрешения на телефоне и предоставить доступ к службе специальных возможностей Android, которая позволяет ей скрывать и выполнять вредоносные задачи в фоновом режиме.
Flubot эффективно захватит зараженное устройство, получая доступ к платежной и банковской информации жертв в процессе через загруженную фишинговую страницу веб-просмотра, наложенную поверх интерфейсов законных приложений мобильного банкинга и криптовалюты.
Он также собирает и пересылает адресную книгу на свой командно-управляющий сервер (с контактами, которые позже отправляются другим спам-ботам Flubot), отслеживает системные уведомления об активности приложений, читает SMS-сообщения и совершает телефонные звонки.
Вначале ботнет был в основном нацелен на пользователей Android из Испании. Тем не менее, в последние месяцы он расширился и нацелился на дополнительные европейские страны ( Германия, Польша , Венгрия, Великобритания, Швейцария ), а также Австралия и Япония, хотя каталонская полиция, как сообщается, арестовала лидеров банды в марте.
Поскольку швейцарская служба безопасности PRODAFT в марте сообщила, что ботнет контролирует примерно 60 000 устройств, на которых собраны номера телефонов 25% всех граждан Испании, вредоносная программа, вероятно, будет распространяться еще быстрее, поскольку теперь она использует то, что выглядит как еще более эффективная приманка.
Перевод - Google
Bleeping Computer
