Android niezmiennie jest celem ataków. Przez Europę przelewa się fala infekcji FluBotem, który jest w stanie wykraść wrażliwe informacje finansowe i mnóstwo innych danych. Zaobserwowano go również w Polsce.
FluBot pojawił się w Hiszpanii, gdzie zanotowano ponad 60 tysięcy infekcji (dane z marca 2021). Malware zgromadził podobno ponad 11 mln numerów telefonów. To oznacza, że ma numer jednego na czterech Hiszpanów. Zresztą ataki nie są ograniczone do tego kraju. Do tej pory zaobserwowano aktywność FluBota między innymi we Włoszech, Niemczech, Holandii, Norwegii, Szwecji, Japonii, na Węgrzech i niestety w Polsce. W samej Wielkiej Brytanii zainfekował ponad 7 tysięcy urządzeń, a jest tam relatywnie nowy.
Zobacz: Android pozwala aplikacjom czytać dane o kontakcie z COVID-19
Atak zaczyna się od SMS-a, przekonującego użytkownika do instalacji szkodliwego komponentu. Zwykle jest zamaskowany jako powiadomienie od firmy kurierskiej (DHL, FedEx, Correos). Analitycy z firmy Proofpoint pokazali kilka przykładów:
To już klasyka. Wiadomość zawiera informacje o paczce i link, pod którym można ją rzekomo śledzić. Linki mogą kierować do różnych stron – sama kampania anglojęzyczna obejmuje ponad 700 różnych domen. Z tego miejsca pobierany jest właściwy malware – zainfekowana aplikacja, która przeprowadzi dalsze etapy ataku.
FluBot wykorzystuje możliwość uruchomienia własnej aplikacji ponad aplikacją używaną aktualnie na telefonie. Okienko może wyskoczyć przy korzystaniu z bankowości mobilnej, aplikacji finansowej, portfela kryptowalut i tym podobnych. W nim zostanie pokazana podrobiona strona logowania albo formularz na wrażliwe informacje, taki jak fałszywa weryfikacja karty płatniczej na Google Pay, pokazana poniżej. Jeśli ofiara w porę się nie zorientuje, poda dane przestępcom.
Przy okazji FluBot „czesze” książkę telefoniczną, wiadomości, powiadomienia i informacje z zainstalowanych aplikacji. Do tego wykorzystuje funkcje ułatwień dostępu Androida.
SMS-y w języku angielskim i niemieckim były wysyłane nawet na numery w Stanach Zjednoczonych, więc spodziewamy się, że niebawem FluBot przekroczy Ocean. Nie ma jednak jeszcze znamion pełnowymiarowej kampanii, skierowanej przeciwko Amerykanom. Na razie można powiedzieć, że FluBot jest zjawiskiem europejskim.
Hiszpańska policja aresztowała cztery osoby podejrzane za stworzenie kampanii FluBot. To jednak nie zatrzymało rozprzestrzeniania się infekcji. Niemieckie i brytyjskie władze ostrzegają obywateli przed fałszywymi SMS-ami. Tak długo, jak są ludzie skłonni otworzyć z link w takiej wiadomości, FluBot będzie się rozprzestrzeniał, a za nim przyjdą kolejne zagrożenia. Kampania prawdopodobnie działa automatycznie i im więcej osób się nabierze, tym więcej potencjalnych celów może uzyskać.
Zobacz: APKPure został zainfekowany trojanem. Użytkownicy Huawei z HMS – to może być wasz problem
Najlepszą linią obrony będzie więc ostrożność. Jeśli nie czekasz na żadną paczkę, zignoruj takie wiadomości. Jeśli spodziewasz się przesyłki, poproś nadawcę o dane do śledzenia i skorzystaj ze strony przewoźnika, a nie podejrzanych linków z SMS-ów nie wiadomo od kogo.
Źródło zdjęć: Wikimedia, Proofpoint
Źródło tekstu: Proofpoint, raport PRODAFT
