Внимание пользователям Android! Банковская вредоносная программа, способная похищать конфиденциальную информацию, быстро распространяется по Европе, а следующей целью могут стать США.
Согласно отчету, проведенному компанией Proofpoint, стоящие за FluBot злоумышленники (он же Cabassous), распространили свою деятельность за пределы Испании и проводят атаки в Великобритании, Германии, Венгрии, Италии и Польше. Только в англоязычной кампании было замечено использование более 700 уникальных доменов, в Великобритании заражены около 7000 устройств.
Кроме того, было обнаружено, что SMS-сообщения на немецком и английском языках отправляются американским пользователям из Европы, что, по мнению Proofpoint, может быть результатом распространения вредоносного ПО через списки контактов, хранящиеся на взломанных телефонах. Целенаправленные атаки в США пока не обнаружены.
FluBot, недавно появившийся банковский троян, начал свою деятельность в конце прошлого года. Согласно анализу, опубликованному компанией Proactive Defence Against Future Threats (PRODAFT) в марте 2021 года, с использованием этой вредоносной программы были атакованы более 60 000 пользователей в Испании. Утверждается, что с этих устройств было собрано более 11 миллионов телефонных номеров, что составляет 25% всего населения Испании.
Распространяемые в основном через SMS-фишинг (он же smishing) сообщения маскируются под службы доставки, такие как FedEx, DHL и Correos, якобы уведомляя пользователей о статусе доставки их посылки или груза вместе со ссылкой для отслеживания заказа, при нажатии на которую загружаются вредоносные приложения с встроенным зашифрованным модулем FluBot.
«FluBot использует оверлейные атаки для осуществления фишинга в приложениях на основе веб-просмотра», - отмечают исследователи. «Вредоносная программа, в основном, атакует мобильные банковские и криптовалютные приложения, но также собирает широкий спектр пользовательских данных из всех установленных приложений на зараженном устройстве».
После установки FluBot не только отслеживает запущенные на устройстве приложения, но и накладывает на страницы входа в финансовые приложения специально созданные вредоносные экраны с контролируемого злоумышленниками сервера, предназначенные для перехвата учетных данных, получения списков контактов, сообщений, звонков и уведомлений путем злоупотребления Accessibility-службой Android.
Хотя в прошлом месяце испанские власти арестовали четырех подозреваемых в причастности к атакам FluBot, число заражений с тех пор возросло, а также оперативно расширился список стран, на которые направлена атака до Японии, Норвегии, Швеции, Финляндии, Дании и Нидерландов, согласно последним данным ThreatFabric.
Всплеск активности FluBot побудил Федеральное управление по информационной безопасности Германии (BSI) и Национальный центр кибербезопасности Великобритании (NCSC) выпустить предупреждения о продолжающихся атаках через мошеннические SMS-сообщения, которые обманом заставляют пользователей устанавливать «шпионские программы, крадущие пароли и другие конфиденциальные данные».
«FluBot, скорее всего, продолжит распространяться довольно быстрыми темпами, методично перемещаясь из страны в страну благодаря сознательным усилиям злоумышленников», - заявили исследователи Proofpoint. «Пока есть пользователи, готовые довериться неожиданному SMS-сообщению и следовать инструкциям и подсказкам атакующих, подобные кибератаки не потеряют своей успешности»
Перевод сделан со статьи: https://thehackernews.com
