De makers van Android-malware Flubot zijn overgestapt naar een nieuwe en waarschijnlijk effectievere methode om Android-apparaten over te nemen. De malafide software probeert zijn slachtoffers te misleiden door zichzelf voor te doen als beveiligingsupdate en gebruikers te waarschuwen voor Flubot-aanvallen. In maart schreven we over een soortgelijke malware waar Zimperium gebruikers over had gewaarschuwd.
Tot nu toe verspreidde Flubot zich naar andere Android-telefoons door sms-berichten te spammen naar contacten die waren gestolen van reeds geïnfecteerde apparaten. Ook werden de doelwitten gevraagd om malafide apps te installeren in de vorm van apk's.
Zoals het computernoodhulpteam van Nieuw-Zeeland (CERT NZ) eerder waarschuwde, is het bericht op de nieuwe installatiepagina van Flubot slechts een lokmiddel dat is ontworpen om een gevoel van urgentie te wekken en potentiële doelen ertoe aan te zetten kwaadaardige apps te installeren. Potentiële slachtoffers worden ook door de malware gevraagd om de installatie van onbekende apps in te schakelen omdat de schadelijke software anders niet kan worden geïnstalleerd.
De sms-berichten die worden gebruikt om doelen naar deze installatiepagina te lokken, gaan over openstaande of gemiste pakketleveringen of gestolen foto's die zijn geüpload. Deze bankmalware (ook bekend als Cabassous en Fedex Banker) is sinds eind 2020 actief en wordt gebruikt om bankgegevens, betalingsinformatie, sms-berichten en contacten van apparaten te stelen.
Eenmaal geïmplementeerd via sms en phishing, zal de malware proberen de slachtoffers te misleiden om extra machtigingen op de telefoon te geven en toegang te verlenen tot de Android Accessibility-service, waardoor het kwaadaardige taken op de achtergrond kan verbergen en uitvoeren.
Het verzamelt en verstuurt ook het adresboek naar zijn command-and-control-server waarbij de contacten later naar andere Flubot-spambots worden verzonden. De malware controleert systeemmeldingen op app-activiteit, leest sms-berichten en voert zelfs telefoongesprekken.
Bron: BleepingComputer
