Исследователи из команды Bitdefender Mobile Threats заявили, что они перехватили более 100,000 XNUMX вредоносных SMS-сообщений, пытающихся распространить Флубот вредоносных программ с начала декабря.
«Результаты показывают, что злоумышленники изменяют свои темы и используют старые, но проверенные способы мошенничества, чтобы побудить пользователей щелкнуть мышью», — румынская фирма, занимающаяся кибербезопасностью. подробный в отчете, опубликованном в среду. «Кроме того, злоумышленники быстро меняют страны, на которые они нацелены в этой кампании».
Говорят, что новая волна атак была наиболее активной в Австралии, Германии, Польше, Испании, Австрии и Италии, а с середины января атаки распространились на новые страны, такие как Румыния, Нидерланды и Таиланд.
Кампании FluBot (также известные как Cabassous) используют смишинг в качестве основного метода доставки для потенциальных жертв, когда пользователи получают SMS-сообщение с вопросом «Это вы в этом видео?» и их обманом заставляют щелкнуть ссылку, которая устанавливает вредоносное ПО.
«Этот новый вектор для банковских троянов показывает, что злоумышленники хотят выйти за рамки обычных вредоносных SMS-сообщений», — говорят исследователи.
TeaBot маскируется под приложения для сканирования QR-кода
Это не просто FluBot. Еще один Android-троян под названием ЧайБот (также известная как Anatsa) была обнаружена в магазине Google Play в виде приложения под названием «QR Code Reader — Scanner App», которое было загружено не менее 100,000 17 раз и доставляло 6 различных вариантов вредоносного ПО в период с 2021 декабря 17 г. 2022 января XNUMX г.
В тактике, которая становится все более распространенной, приложение действительно предлагает обещанные функции, но оно также предназначено для извлечения вредоносного APK-файла, размещенного на GitHub, но не раньше, чем удостоверится, что код страны текущего зарегистрированного оператора не начинается с « У».
Затем установка мошеннического приложения включает в себя представление поддельного пользовательского интерфейса, уведомляющего пользователя о том, что требуется обновление надстройки и что параметр, разрешающий установки из неизвестных источников необходимо включить, чтобы применить обновление.
BitDefender заявил, что обнаружил еще четыре приложения-дроппера — 2FA Authenticator, QR Scanner APK, QR Code Scan и Smart Cleaner — которые были доступны в Play Store и распространяли вредоносное ПО TeaBot как минимум с апреля 2021 года.
Еще одним интересным методом, принятым операторами, является управление версиями, которое работает, отправляя безопасную версию приложения в магазин приложений с целью уклонения от процесса проверки, установленного Google, только для того, чтобы со временем заменить кодовую базу дополнительными вредоносными функциями через обновления позже.
Помимо обхода защиты Play Store для охвата более широкого пула заражений, операторы, как полагают, платили за появление в Google Ads в других законных приложениях и играх, «предоставляя им экранное время в приложении, которое может иметь миллионы пользователей».
Анализ также подтверждает предыдущий отчет голландской фирмы ThreatFabric, специализирующейся на кибербезопасности. найденный шесть дропперов Anatsa в Play Store с июня 2021 года. Приложения были запрограммированы на загрузку «обновления», после чего пользователям предлагалось предоставить им привилегии службы специальных возможностей и разрешения на установку приложений из неизвестных сторонних источников.
«Злоумышленники относятся к вредоносному ПО как к продукту, разрабатывают и версионируют его, прилагая все усилия, чтобы обойти технологии безопасности и получить больше жертв», — сказал Ричард Мелик, директор по продуктовой стратегии безопасности конечных точек в Zimperium.
«Когда одна версия выходит из строя, злоумышленники возвращаются к разработке следующей версии, особенно если результаты оказались эффективными. А мобильная конечная точка — невероятно прибыльная цель для злоумышленников», — добавил Мелик.
От GriftHorse до Dark Herring
Это произошло после того, как Zimperium zLabs раскрыла подробности еще одной кампании по злоупотреблению услугами премиум-класса, аналогичной ЖирафХорс которая использовала до 470 безобидных приложений для подписки пользователей на платные услуги стоимостью 15 долларов в месяц без их ведома.
Сообщается, что мошенничество с выставлением счетов, также классифицируемое как «fleeceware», затронуло более 105 миллионов пользователей в более чем 70 странах, причем большинство жертв находятся в Египте, Финляндии, Индии, Пакистане и Швеции.
Гигантская операция, которую компания мобильной безопасности под кодовым названием «Dark Herring» провела в марте 2020 года, что делает ее одной из самых продолжительных мошеннических операций с мобильными SMS, обнаруженных на сегодняшний день.
Хотя огромное количество троянских приложений с тех пор было удалено из Play Store, они по-прежнему доступны в сторонних магазинах приложений, что еще раз подчеркивает потенциальную опасность загрузки приложений на мобильные устройства.
«В дополнение к более чем 470 приложениям для Android, распространение приложений было чрезвычайно хорошо спланировано, их приложения были распределены по нескольким различным категориям, что расширило круг потенциальных жертв», — исследователь Zimperium Аазим Ясвант. — сказал. «Сами приложения также функционировали так, как рекламируется, усиливая ложное чувство уверенности».
