Achtung! FluBot Android Banking Malware verbreitet sich schnell in Europa

Cyber Security News

Achtung, Android-Benutzer! Eine Banking-Malware, die in der Lage ist, sensible Informationen zu stehlen, breitet sich “schnell” in Europa aus, wobei die USA wahrscheinlich das nächste Ziel sein werden.

Laut einer neuen Analyse von Proofpoint haben sich die Bedrohungsakteure hinter FluBot (auch bekannt als Cabassous) über Spanien hinaus verzweigt und Großbritannien, Deutschland, Ungarn, Italien und Polen ins Visier genommen. Allein die englischsprachige Kampagne nutzt mehr als 700 einzigartige Domains und infiziert etwa 7.000 Geräte in Großbritannien.

Darüber hinaus wurden deutsch- und englischsprachige SMS-Nachrichten gefunden, die von Europa aus an US-Benutzer gesendet wurden. Proofpoint vermutet, dass dies das Ergebnis einer Malware sein könnte, die sich über Kontaktlisten verbreitet, die auf kompromittierten Telefonen gespeichert sind. Eine konzertierte Kampagne, die auf die USA abzielt, ist noch nicht entdeckt worden.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

FluBot, ein aufstrebender Neuzugang in der Banking-Trojaner-Landschaft, nahm seine Tätigkeit Ende letzten Jahres auf. Laut einer von Proactive Defence Against Future Threats (PRODAFT) im März 2021 veröffentlichten Analyse haben Kampagnen, die die Malware einsetzen, mehr als 60.000 Benutzer in Spanien infiziert. Es soll mehr als 11 Millionen Telefonnummern von den Geräten gesammelt haben, was 25 % der Gesamtbevölkerung in Spanien entspricht.

Die Nachrichten werden hauptsächlich über SMS-Phishing (auch bekannt als Smishing) verbreitet. Sie geben sich als Lieferdienst wie FedEx, DHL und Correos aus und benachrichtigen die Benutzer scheinbar über den Lieferstatus ihres Pakets oder ihrer Sendung, zusammen mit einem Link zur Nachverfolgung der Bestellung, der, wenn er angeklickt wird, bösartige Apps herunterlädt, in denen das verschlüsselte FluBot-Modul eingebettet ist.

[Blocked Image: https://thehackernews.com/images/-sXGvtF-k5bI/YIkMDbdORlI/AAAAAAAACY4/wr6hmCPa-zQzmtXZiydFEUEsDQjWFQ-eACLcBGAsYHQ/s728-e1000/hack.jpg]

“FluBot ist eine neue Android-Banking-Malware, die Overlay-Angriffe nutzt, um Webview-basiertes Anwendungsphishing durchzuführen”, so die Forscher. “Die Malware zielt hauptsächlich auf mobile Banking- und Kryptowährungsanwendungen ab, sammelt aber auch eine Vielzahl von Benutzerdaten von allen installierten Anwendungen auf einem bestimmten Gerät.”

Nach der Installation verfolgt FluBot nicht nur die auf dem Gerät gestarteten Anwendungen, sondern überlagert auch Anmeldeseiten von Finanz-Apps mit speziell erstellten bösartigen Varianten von einem vom Angreifer kontrollierten Server, die mit dem Ziel entwickelt wurden, Anmeldedaten zu entführen und zusätzlich Kontaktlisten, Nachrichten, Anrufe und Benachrichtigungen abzurufen, indem sie den Android Accessibility Service missbrauchen.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Obwohl die spanischen Behörden vier Kriminelle verhaftet haben, die hinter der FluBot-Kampagne vermutet werden, haben die Infektionen zugenommen. Gleichzeitig wurden die Zielländer innerhalb kurzer Zeit um Japan, Norwegen, Schweden, Finnland, Dänemark und die Niederlande erweitert, so die neuesten Erkenntnisse von ThreatFabric.

Die sprunghafte Zunahme der FluBot-Aktivitäten hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und das britische National Cyber Security Centre (NCSC) dazu veranlasst, Warnungen vor laufenden Angriffen über betrügerische SMS-Nachrichten herauszugeben, die Benutzer dazu verleiten, “Spyware zu installieren, die Passwörter und andere sensible Daten stiehlt”.

“FluBot wird sich wahrscheinlich weiterhin ziemlich schnell verbreiten und sich methodisch von Land zu Land durch eine bewusste Anstrengung der Bedrohungsakteure bewegen”, so die Forscher von Proofpoint. “Solange es Benutzer gibt, die bereit sind, einer unerwarteten SMS-Nachricht zu vertrauen und die von den Bedrohungsakteuren bereitgestellten Anweisungen und Aufforderungen zu befolgen, werden Kampagnen wie diese erfolgreich sein.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com