Pozor, uživatelé Androidu! Bankovní malware schopný krást citlivé informace se „rychle šíří“ po celé Evropě a dalším cílem budou pravděpodobně USA.

Podle nové analýzy společnosti Proofpoint se hackeři za společností FluBot (alias Cabassous ) rozvětvili mimo Španělsko a zaměřili se na Velkou Británii, Německo, Maďarsko, Itálii a Polsko. Pouze v anglické kampani bylo pozorováno, že využívá více než 700 jedinečných domén a infikuje přibližně 7 000 zařízení ve Velké Británii.

Kromě toho bylo zjištěno, že německé a anglické SMS zprávy byly zasílány americkým uživatelům z Evropy, což by mohlo být výsledkem šíření škodlivého softwaru prostřednictvím seznamů kontaktů uložených na napadených telefonech. Společná kampaň zaměřená na USA teprve bude odhalena.

Podle analýzy zveřejněné společností Proactive Defense Against Future Threats ( PRODAFT ) v březnu 2021 zahájila společnost FluBot svoji činnost koncem loňského roku. Kampaně využívající malware infikovali více než 60 000 uživatelů ve Španělsku, údajně nashromáždili více než 11 milionů telefonních čísel ze zařízení, což představuje 25% z celkové populace ve Španělsku.

Zprávy, které jsou primárně distribuovány prostřednictvím phishingu pomocí SMS (aka smishing), se maskují jako doručovací služba, jako jsou FedEx, DHL a Correos, a zdánlivě upozorňují uživatele na stav jejich doručení balíčku nebo zásilky spolu s odkazem na sledování objednávky, který po kliknutí stáhne škodlivé aplikace, které mají v sobě zabudovaný šifrovaný modul FluBot.

„FluBot je nový bankovní malware pro Android, který využívá útoky typu overlay k provádění phishingu aplikací založených na webview,“ poznamenali vědci. „Malware se zaměřuje hlavně na mobilní bankovnictví a kryptoměnové aplikace, ale také shromažďuje širokou škálu uživatelských dat ze všech nainstalovaných aplikací v daném zařízení.“

Po instalaci FluBot nejen sleduje aplikace spuštěné v zařízení, ale také překrývá přihlašovací stránky finančních aplikací speciálně vytvořenými škodlivými variantami ze serveru ovládaného útočníkem, kromě načítání seznamů kontaktů, zpráv, hovory a oznámení zneužitím služby Android Accessibility Service.

Ačkoli španělské úřady minulý měsíc zatkly čtyři zločince, u nichž je podezření, že stojí za kampaní FluBot, infekce se od té doby zintenzivnily a současně se v krátké době rozšířily země, na které cílí, aby zahrnovaly Japonsko, Norsko, Švédsko, Finsko, Dánsko a Nizozemsko, podle nejnovějších poznatků z ThreatFabric.

Špička aktivity FluBot přiměla německý Federální úřad pro informační bezpečnost ( BSI ) a britské Národní středisko pro kybernetickou bezpečnost ( NCSC ), aby vydávaly varování před probíhajícími útoky prostřednictvím podvodných SMS zpráv, které uživatele přiměly k instalaci „spywaru, který krade hesla a další citlivé data.”

„Je pravděpodobné, že se FluBot bude i nadále šířit poměrně rychlým tempem a bude se metodicky pohybovat ze země do země vědomým úsilím aktérů ohrožení,“ uvedli vědci Proofpoint. „Dokud budou uživatelé ochotni důvěřovat neočekávané SMS zprávě a dodržovat pokyny a výzvy poskytované aktéry hrozeb, budou takové kampaně úspěšné.“