0
0
Uma equipe internacional de autoridades policiais interrompeu com sucesso a infraestrutura associada ao FluBot, uma ferramenta de malware especialmente perniciosa que os atores de ameaças vêm usando desde pelo menos dezembro de 2020 para roubar senhas, detalhes de contas bancárias e outros dados confidenciais de usuários do Android.
A Europol anunciou a queda na quarta-feira, observando que a infraestrutura do FluBot estava agora sob o controle da aplicação da lei.
“Uma operação internacional de aplicação da lei envolvendo 11 países resultou na derrubada de um dos malwares móveis que mais se espalham até agora“, observou a Europol. “A investigação está em andamento para identificar os indivíduos por trás desta campanha global de malware.”
Pesquisadores detectaram pela primeira vez o FluBot (na época chamado cabassous) visando usuários de Android na Espanha em dezembro de 2020. Ao longo do próximo ano, o malware se espalhou como fogo para o que a Europol descreveu como um “grande número” de dispositivos Android em vários países, incluindo Alemanha, Reino Unido, França, Finlândia, Austrália e Nova Zelândia.
Uma ameaça viral de propagação rápida
O FluBot se espalha através de mensagens de phishing sms (smishing) que usam vários pretextos para tentar fazer com que os destinatários cliquem em um link para baixar o malware em seus smartphones. Nos primeiros dias do malware, as mensagens SMS supostamente eram de empresas de entrega como FedEx e DHL tentando deixar um pacote. Os usuários que foram enganados a clicar no link — ostensivamente para reagendar a entrega — acabaram com o malware, disfarçado de aplicativo móvel da empresa de entrega, baixado para seus dispositivos Android.
Uma vez instalado, o malware busca privilégios de acesso específicos no dispositivo que, se concedido, ele usaria para roubar dados de cartão de pagamento, informações de contas bancárias e outros dados confidenciais. O malware também foi projetado para interceptar e ler mensagens de texto, abrir páginas, desativar o Google Play Protect e desinstalar vários aplicativos de um dispositivo infectado.
Além disso, o FluBot copia a lista de contatos do proprietário do dispositivo infectado e envia mensagens SMS com links infectados para todos os números — um fator que provavelmente contribuiu para sua rápida disseminação, de acordo com o fornecedor de segurança Bitdefender. Os autores do malware provavelmente o venderam como um serviço para diferentes atores de ameaças, contribuindo para sua propagação viral.
Ao longo de 2021, os atores de ameaças usaram diferentes mensagens de SMS para tentar enganar os usuários a clicar no link malicioso, incluindo um que supostamente era de um amigo que queria compartilhar uma foto e outra que tentava fazer com que os usuários ouvissem uma mensagem falsa de correio de voz. Pesquisadores do Bitdefender até observaram atacantes enviando mensagens de phishing sms que ironicamente alertaram os destinatários sobre seus dispositivos serem infectados pelo FluBot e tomar medidas corretivas clicando no link da mensagem. Em um relatório em janeiro deste ano, a Bitdefender identificou a Austrália como o país mais atingido pelo FluBot, seguido pela Alemanha, Polônia, Espanha e Áustria.
Pesquisadores da Proofpoint que rastrearam o FluBot no ano passado relataram observar mensagens de SMS do FluBot em inglês e alemão. O fornecedor disse ter identificado mais de 700 domínios únicos que os atores do FluBot usaram apenas para a campanha em inglês.
Ameaças androides continuam a surgir
A queda do FluBot elimina — temporariamente — uma das maiores ameaças aos usuários de dispositivos Android nos últimos anos. No entanto, inúmeras outras ferramentas de malware semelhantes na natureza continuam a apresentar uma séria ameaça. Um relatório recente da ThreatFabric identificou um aumento contínuo em famílias de malware android, como o Coringa, que permitem que transações fraudulentas sejam iniciadas a partir de um dispositivo infectado. Outros exemplos incluem Alien, Cerberus, Hydra e Octo.
O aumento das famílias de malware android também foi acompanhado por um aumento no número de conta-gotas de malware disfarçados de aplicativos legítimos na loja oficial de aplicativos móveis Play do Google, disse a ThreatFabric. Entre eles está um aplicativo chamado NanoCleaner, que já foi baixado mais de 10.000 vezes. Na verdade, NanoCleaner é um substituto para a Hydra.
Da mesma forma, outro aplicativo chamado Pocket Screencaster, com mais de 10.000 instalações, é um dropper para Octo, e outro chamado Fast Cleaner, com mais de 50.000 instalações, é realmente um substituto para Alien e Octo.
“Os atores de ameaças continuam a considerar os conta-gotas no Google Play como uma das maneiras mais eficazes de fornecer malware às vítimas”, disse ThreatFabric.
FONTE: DARK READING