Onderzoekers van het Bitdefender Mobile Threats-team zeiden dat ze meer dan 100,000 kwaadaardige sms-berichten hebben onderschept die probeerden te verspreiden Flubot malware sinds begin december.
"Bevindingen wijzen erop dat aanvallers hun onderwerpregels aanpassen en oudere, maar bewezen scams gebruiken om gebruikers te verleiden om te klikken", aldus het Roemeense cyberbeveiligingsbedrijf. gedetailleerd in een woensdag gepubliceerd rapport. "Bovendien veranderen aanvallers snel de landen waarop ze zich richten in deze campagne."
De nieuwe golf van aanvallen zou het meest actief zijn geweest in onder meer Australië, Duitsland, Polen, Spanje, Oostenrijk en Italië, waarbij de aanvallen zich vanaf half januari verspreidden naar nieuwere landen zoals Roemenië, Nederland en Thailand.
FluBot-campagnes (ook bekend als Cabassous) gebruiken smishing als de primaire leveringsmethode om potentiële slachtoffers te targeten, waarbij gebruikers een sms-bericht ontvangen met de vraag "Ben jij dit in deze video?" en worden misleid om op een link te klikken die de malware installeert.
"Deze nieuwe vector voor bank-trojans laat zien dat aanvallers verder willen gaan dan de reguliere kwaadaardige sms-berichten", aldus de onderzoekers.
TeaBot doet zich voor als QR Code Scanner Apps
Het is niet alleen FluBot. Een andere Android-trojan belde TheeBot (ook bekend als Anatsa) is waargenomen op de loer in de Google Play Store in de vorm van een app met de naam "QR Code Reader - Scanner App", die niet minder dan 100,000 downloads trekt en 17 verschillende varianten van de malware levert tussen 6 december 2021 en 17 januari 2022.
In een tactiek die steeds gebruikelijker wordt, biedt de app wel de beloofde functionaliteit, maar hij is ook ontworpen om een kwaadaardig APK-bestand op te halen dat op GitHub wordt gehost, maar niet voordat is vastgesteld dat de landcode van de huidige geregistreerde operator niet met een "U" begint.
De installatie van de frauduleuze app omvat vervolgens het presenteren van een valse gebruikersinterface die de gebruiker informeert dat een add-on-update vereist is en dat de instelling om toe te staan installaties van onbekende bronnen moet zijn ingeschakeld om de update toe te passen.
BitDefender zei dat het nog vier dropper-apps identificeerde – 2FA Authenticator, QR Scanner APK, QR Code Scan en Smart Cleaner – die beschikbaar waren in de Play Store en de TeaBot-malware verspreidden sinds ten minste april 2021.
Een andere interessante techniek die door de operators wordt toegepast, is versiebeheer, waarbij een goedaardige versie van een app wordt ingediend bij de app store om het beoordelingsproces van Google te omzeilen, om vervolgens de codebase na verloop van tijd te vervangen door aanvullende kwaadaardige functionaliteit via updates op een later tijdstip.
Naast het omzeilen van de Play Store-beveiligingen om een bredere infectiepool te bereiken, wordt aangenomen dat de operators hebben betaald om te verschijnen in Google Ads die worden weergegeven in andere legitieme applicaties en games, "waardoor ze schermtijd krijgen in een app die miljoenen gebruikers zou kunnen hebben."
De analyse bevestigt ook een eerder rapport van het Nederlandse cyberbeveiligingsbedrijf ThreatFabric gevonden zes Anatsa-droppers in de Play Store sinds juni 2021. De apps waren geprogrammeerd om een "update" te downloaden, gevolgd door gebruikers te vragen hen Accessibility Service-privileges en machtigingen te verlenen om apps van onbekende externe bronnen te installeren.
"Kwaadwillende actoren behandelen malware als een product, met ontwikkeling en versiebeheer, en werken hard om beveiligingstechnologieën te omzeilen en meer slachtoffers te maken", zegt Richard Melick, directeur productstrategie voor eindpuntbeveiliging bij Zimperium.
“Wanneer een versie wordt verstoord, gaan de kwaadwillende actoren terug naar het ontwikkelen van de volgende versie, vooral wanneer de resultaten effectief zijn geweest. En het mobiele eindpunt is een ongelooflijk lucratief doelwit voor aanvallers”, voegde Melick eraan toe.
Van GriftHorse tot Dark Herring
De ontwikkeling komt op het moment dat Zimperium zLabs details openbaarde van weer een andere campagne voor premium service-misbruik in de trant van GriftPaard dat maakte gebruik van maar liefst 470 goedaardig ogende apps om gebruikers zonder hun medeweten te abonneren op betaalde services die $ 15 per maand kosten.
De factureringsfraude, ook wel gecategoriseerd als 'fleeceware', zou meer dan 105 miljoen gebruikers in meer dan 70 landen hebben getroffen, met de meeste slachtoffers in Egypte, Finland, India, Pakistan en Zweden.
De gigantische operatie, die het mobiele beveiligingsbedrijf de codenaam "Dark Herring" heeft gegeven, is terug te voeren tot maart 2020, waardoor het een van de langstlopende mobiele sms-zwendel is die tot nu toe is ontdekt.
Hoewel het enorme nest van trojaanse apps sindsdien uit de Play Store is verwijderd, zijn ze nog steeds beschikbaar in app-winkels van derden, wat eens te meer de potentiële gevaren onderstreept als het gaat om het sideloaden van applicaties naar mobiele apparaten.
"Naast meer dan 470 Android-applicaties was de distributie van de applicaties buitengewoon goed gepland, waardoor hun apps over meerdere, gevarieerde categorieën werden verspreid, waardoor het bereik van potentiële slachtoffers werd vergroot", zegt Zimperium-onderzoeker Aazim Yaswant zei. "De apps zelf functioneerden ook zoals geadverteerd, waardoor het valse gevoel van vertrouwen werd vergroot."
