Ερευνητές ασφαλείας ανακάλυψαν νέες καμπάνιες διανομής των FluBot και TeaBot malware. Τα malware διανέμονται κυρίως μέσω smishing επιθέσεων και κακόβουλων εφαρμογών που στοχεύουν κυρίως Android χρήστες στη Γερμανία, την Πολωνία, την Ισπανία, τη Ρουμανία και την Αυστραλία.
Δείτε επίσης: LockBit ransomware: Linux έκδοση στοχεύει VMware ESXi servers
FluBot malware
Τα θέματα που χρησιμοποιούνται στα κακόβουλα SMS (smishing) για τη διανομή του FluBot malware, περιλαμβάνουν ψεύτικα μηνύματα από υποτιθέμενες εταιρείες courier, ερωτήσεις τύπου “Είσαι εσύ σε αυτό το βίντεο;”, ψεύτικα browser updates και ψεύτικες ειδοποιήσεις τηλεφωνητή.
Ερευνητές από τη Bitdefender Labs ανακάλυψαν την πιο πρόσφατη καμπάνια FluBot, κατά την οποία στάλθηκαν πάνω από 100.000 κακόβουλα SMS από τον Δεκέμβριο του 2021.
Σύμφωνα με την έκθεση των ερευνητών, οι χειριστές του FluBot malware πραγματοποιούν επιθέσεις χρησιμοποιώντας διαφορετικά δολώματα για κάθε χώρα.
Με τη μόλυνση μιας συσκευής, το κακόβουλο λογισμικό χρησιμοποιεί τη λίστα επαφών του θύματος για να διανείμει κι άλλα κακόβουλα SMS. Αυτά τα νέα μηνύματα (που στέλνονται στις επαφές) στέλνονται από τα αρχικά θύματα, οπότε οι παραλήπτες είναι πιο πιθανό να πέσουν στην παγίδα, αφού εμπιστεύονται τον αποστολέα. Με αυτόν τον τρόπο, οι επιτιθέμενοι πετυχαίνουν ακόμα περισσότερες μολύνσεις.
Δείτε επίσης: Γερμανική κυβέρνηση: Η ομάδα APT27 παραβιάζει επιχειρηματικά δίκτυα
Οι επιθέσεις με σκοπό τη διανομή του FluBot malware ξεκίνησαν το 2021 και συνεχίζουν να στοχεύουν έναν μεγάλο αριθμό Android χρηστών, κάτι που δείχνει ότι οι επιτιθέμενοι δεν σκοπεύουν να σταματήσουν σύντομα τις κακόβουλες δραστηριότητές τους.
TeaBot malware
Το TeaBot είναι ένα διαφορετικό Android banking trojan που ανακαλύφθηκε τον Ιανουάριο του περασμένου έτους και στοχεύει χρήστες σε όλο τον κόσμο.
Σύμφωνα με τη Bitdefender, το TeaBot έχει εμφανιστεί αρκετές φορές στο Play Store από τον Δεκέμβριο του 2021.
Οι ερευνητές λένε ότι το TeaBot διανέμεται μέσω trojanized εφαρμογών στο Google Play Store. Μερικές από τις κακόβουλες εφαρμογές είναι:
- QR Code Reader – Scanner App – 100.000 λήψεις
- QR Scanner APK – 10.000 λήψεις
- QR Code Scan – 10.000 λήψεις
- Smart Cleaner – 1.000 λήψεις
- Weather Cast – 10.000 λήψεις
- Weather Daily – 10.000 λήψεις
Οι επιτιθέμενοι προωθούσαν αυτές τις εφαρμογές πληρώνοντας για να εμφανίζονται στο Google Ads.
Μετά την εγκατάσταση και την εκτέλεση στη συσκευή του θύματος, οι εφαρμογές ελέγχουν κρυφά τον κωδικό χώρας και σταματούν εάν δουν ότι πρόκειται για τις Ουκρανία, Ουζμπεκιστάν, Ουρουγουάη ή Ηνωμένες Πολιτείες.
Σε άλλη περίπτωση, τα θύματα μολύνονται με μια παραλλαγή του TeaBot malware. Ταυτόχρονα, οι εφαρμογές προτρέπουν τους χρήστες να επιτρέπουν την εγκατάσταση packages από τρίτες πηγές.
Δείτε επίσης: Chaes banking trojan: Επηρεάζει το Chrome με κακόβουλες επεκτάσεις
Από τις 6 Δεκεμβρίου 2021 έως τις 17 Ιανουαρίου 2022, οι αναλυτές της Bitdefender είχαν ανακαλύψει 17 διαφορετικές εκδόσεις τουTeaBot malware, που μολύνουν συσκευές μέσω των κακόβουλων εφαρμογών.
Η καμπάνια TeaBot δείχνει ότι ακόμη και όταν εγκαθιστάτε λογισμικό από το Google Play Store, δεν είστε πάντα ασφαλείς.
Πρέπει να είστε προσεκτικοί όταν προχωράτε στην εγκατάσταση μιας νέας εφαρμογής. Πριν κάνετε οτιδήποτε, θα πρέπει να ελέγχετε τις κριτικές άλλων χρηστών και τις άδειες που ζητά η εφαρμογή.
Πηγή: Bleeping Computer