ESET Research: FluBot, een Android-banktrojan, doet zich voor als internationale logistieke bedrijven
Terwijl FluBot verschillende ontwikkelingsstadia doorliep, begon het in zijn voorlaatste versie 3.9 campagne te voeren in Italië en gebruikte het Cloudflare’s DNS over HTTPS (DNS over HTTPS) service, een gecodeerd protocol dat namen van domein in IP-adressen omzet. Momenteel, in versie 4.0 (version 4.0), blijft het zijn horizon verbreden met code die suggereert dat het zich voorbereidt om voor het eerst meer landen over de hele wereld aan te vallen en het treft opnieuw het Verenigd Koninkrijk, Denemarken, Finland, Zweden, Noorwegen en Japan.
Android-gebruikers, die hun mobiele apparaten beschermen met ESET Mobile Security, zijn beschermd tegen FluBot en kunnen alle malwaredetecties vinden als een variant op de Android / TrojanDropper.Agent-familie. Hoewel veel Android-gebruikers niet noodzakelijkerwijs door een mobiele beveiligingsoplossing worden beschermd en daarom kwetsbaarder zijn voor deze dreiging, nemen we de trucs van FluBot nader onder de loep en bieden we enkele tips om veilig te blijven.
Een “onschuldig” sms-bericht van je pakketbezorgdienst?
Doorgaans starten FluBot-operatoren hun campagnes met een massale sms-verzending, waarbij naast een van de verschillende verzend- of bezorggerelateerde berichten ook een kwaadaardige link staat. In maart 2021 haalde ESET-telemetrie een sms op die gericht was op Android-gebruikers in Duitsland met het bericht: “Uw pakket komt eraan, volg het hier.”
Deze voor Duitsland specifieke campagne begon op 15 maart en bereikte binnen enkele dagen heel wat gebruikers. Andere voorbeeldberichten zijn:
- UPS: je pakket komt er aan. UPS online tracking: https://gdtmtx[.]com/4/?d90v13v10ipze
- Hallo {gebruikersnaam}. Bevestig vandaag nog je bezorggegevens, anders wordt je pakket teruggestuurd: http://witheaseappareloptin[.]com/app/?04grwqo6da
- Hallo, uw zending werd op 05 / 03-2021 afgeleverd in het depot. Kijk hier waar u uw pakket kunt ophalen: http://ekremakin[.]org/pack/?v12535eze4
- NACEX BEVEELT AAN: PAKKETSTATUS 303/03445873 AFWEZIG MET KENNISGEVING. BEHEREN VANAF https://visotka[.]in/pack/?i10gqjz1z7q OR TLF.936372200
- We hebben uw pakket niet kunnen afleveren. Klik op de link om een nieuwe leverdatum aan te maken: https://sekolahalmunasemarang[.]sch[.]id/url/?ltdur4svax
Iedereen die op de kwaadaardige link klikt, wordt naar een webpagina gestuurd die zich voordoet als een internationaal logistiek bedrijf zoals DHL, FedEx of recenter UPS. Het spreekt voor zich dat regionale en lokale logistieke bedrijven zich ook zorgen maken door de FluBot-identiteitsdiefstal.
Het doel van deze truc is om Android-gebruikers te misleiden zodat ze een kwaadaardige app, gekoppeld aan FluBot, downloaden en installeren. De echte FedEx Mobile-app (FedEx Mobile) vraagt geen toestemming om toegangsdiensten te gebruiken. Eens geïnstalleerd, kan de kwaadaardige app andere apps detecteren die op het mobiele apparaat voor bank- of cryptocurrency-transacties reeds geïnstalleerd zijn. Als gebruikers een van deze financiële apps openen, kan FluBot een overtuigend nepvenster over de originele app leggen om inloggegevens te stelen.
IPhone-gebruikers kunnen ook het doelwit zijn van FluBot – met het verschil dat er geen kwaadaardige apps worden aangeboden. Het gaat om phishing die gebruikt wordt, net als een nep-Amazon-enquête (fake Amazon survey), die creditcardgegevens vraagt met de valse belofte op een beloning.
Onderzoek de reikwijdte van FluBot-campagnes
Tijdens de eerste twee maanden van de FluBot-campagnes, van eind december 2020 tot eind februari 2021, waren Spaanse Android-gebruikers duidelijk het belangrijkste doelwit. Eind februari bleek uit een schatting dat in Spanje maar liefst 60.000 Android-toestellen het slachtoffer van FluBot waren geworden. Bovendien waren meer dan 11 miljoen telefoonnummers door FluBot-operators verzameld, en bijna allemaal van Spaanse residenten.
Kort daarna, begin maart, beweerden verschillende rapporten dat een deel van de criminele bende achter FluBot was gearresteerd tijdens een politieoperatie in Barcelona (police operation in Barcelona). Deze informatie was echter onjuist, want om zich voor te doen als logistieke bedrijven zoals Correos (de nationale koeriersdienst van Spanje) en creditcardgegevens te stelen, gebruikte de gearresteerde bende kwaadaardige websites, geen apps. Bovendien, gezien de FluBot-aanvallen na deze arrestaties doorgingen en de malware op de Dark Web werd gepubliceerd, zijn de ontwikkelaars van FluBot nog steeds op vrije voeten en verkopen ze hun producten als malware-as-a-service.
Gezien het succes van de FluBot-aanvallen in Europa, hebben andere kwaadwillende actoren de tactieken van FluBot gekopieerd door kwaadaardige sms-berichten en apps te gebruiken en zich voor te doen als logistieke bedrijven. Dit is het geval met TeaBot (ook bekend als Anatsa en Toddler), een andere Android-banktrojan. Van het gebruik van nepmediaspelers stapte het over naar nep-apps die zich als logistieke bedrijven voordoen.
Pas op voor kwaadaardige sms-berichten, nep-apps en andere trucs
Gezien de snelle uitbreiding van FluBot-campagnes tijdens de afgelopen weken, houd je best rekening met de volgende tips:
- Denk twee keer na voordat je op een per sms verzonden link klikt. Ga naar de officiële website en neem alle vermeende trackingnummers om hun authenticiteit te verifiëren.
- Download alleen apps van officiële app-winkels zoals Google Play.
- Pas op voor toestemmingen die je aan apps geeft. Als je merkt dat de gevraagde machtigingen verdacht en ongepast zijn voor het aangegeven doel van de app, kan dit een signaal zijn dat je te maken hebt met een kwaadaardige app.
- Voor je een app downloadt, moet je wat onderzoek doen naar de ontwikkelaar, app-beoordelingen en gebruikersrecensies. Besteed speciale aandacht aan negatieve recensies – sommige apps zijn gewoon te mooi om waar te zijn.
- Gebruik een betrouwbare beveiligingsoplossing zoals ESET Mobile Security.
- Als je pech had en een schadelijke app installeerde, kan je de stappen in de video van ESET-onderzoeker Lukaš Štefanko volgen. Daar wordt uitgelegd hoe je een schadelijke app kunt identificeren en je telefoon kunt heropstarten in de veilige modus om deze te verwijderen.
Meer info op www.welivesecurity.com