Срочно. Банковский вирус для Android от FluBot быстро распространяется по Европе

Банковский вирус для Android от FluBot быстро распространяется по Европе. Фото: Pixabay

Согласно новому анализу Proofpoint, злоумышленники, стоящие за FluBot (также известные как Cabassous ), вышли за пределы Испании и нацелены на Великобританию, Германию, Венгрию, Италию и Польшу. Одна только англоязычная кампания использовала более 700 уникальных доменов, заразив около 7000 устройств в Великобритании, сообщает The Hacker News.

Кроме того, было обнаружено, что SMS-сообщения на немецком и английском языках отправлялись пользователям США из Европы, что, как подозревает Proofpoint, могло быть результатом распространения вредоносного ПО через списки контактов, хранящиеся на взломанных телефонах. Согласованная кампания, направленная против США, пока не обнаружена.

Согласно анализу, опубликованному Proactive Defense Against Future Threats ( PRODAFT ) в марте 2021 года, FluBot, новый  участник рынка банковских троянов, начал свою деятельность в конце прошлого года с кампаний, в которых использовалось вредоносное ПО, заразившее более 60 тыс. пользователей в Испании. Сообщается, что с этих устройств было собрано более 11 миллионов телефонных номеров, что составляет 25% от общей численности населения Испании.

Сообщения, распространяемые в основном с помощью SMS-фишинга (также известные как smishing), маскируются под службы доставки, такие как FedEx, DHL и Correos, по-видимому, уведомляя пользователей о статусе доставки их посылки или отправления вместе со ссылкой для отслеживания заказа, которая при нажатии на неё загружает вредоносные приложения, в которые встроен зашифрованный модуль FluBot.

«FluBot - это новое банковское вредоносное ПО для Android, которое использует оверлейные атаки для фишинга приложений на основе веб-просмотра, — отметили исследователи. —Вредоносное ПО в основном нацелено на приложения для мобильного банкинга и криптовалюты, но также собирает широкий спектр пользовательских данных из всех установленных приложений на данном устройстве».

После установки FluBot не только отслеживает приложения, запущенные на устройстве, но также накладывает на страницы входа в систему финансовых приложений специально созданные вредоносные варианты с сервера, контролируемого злоумышленником, предназначенные для перехвата учётных данных, а также для получения списков контактов и сообщений , звонков и уведомления, злоупотребляя службой специальных возможностей Android.

Хотя в прошлом месяце испанские власти арестовали четырёх преступников, подозреваемых в причастности к кампании FluBot, с тех пор число случаев заражения увеличилось, при одновременном расширении целевых стран за короткий период времени, включая Японию, Норвегию, Швецию, Финляндию, Данию и Нидерланды.

 «Скорее всего, FluBot будет и дальше распространяться довольно быстрыми темпами, методично перемещаясь из страны в страну благодаря сознательным усилиям субъектов угрозы, — заявили исследователи Proofpoint. — Пока есть пользователи, готовые доверять неожиданному SMS-сообщению и следовать инструкциям и подсказкам злоумышленников, подобные кампании будут успешными».