Эксперты CERT NZ обнаружили, что малварь FluBot начала использовать новую приманку для компрометации Android-устройств. Злоумышленники пытаются вынудить пользователей заразить свои устройства, показывая им предупреждения о необходимости срочно установить некое обновление безопасности, так как девайс пользователя якобы уже скомпрометирован… малварью Flubot.
«Ваше устройство заражено вредоносной программой FluBot®. Android обнаружил, что ваше устройство заражено. FluBot — это шпионское ПО для Android, целью которого является кража финансовых данных и паролей с вашего устройства. Вы должны установить обновление безопасности для Android, чтобы удалить FluBot», — гласит сообщение злоумышленников.
If you are seeing this page, it does not mean you are infected with Flubot however if you follow the false instructions from this page, it WILL infect your device. https://t.co/KrcPhCQB90
— CERT NZ (@CERTNZ) September 30, 2021
Потенциальным жертвам также предлагается разрешить установку приложений из недоверенных источников, если они увидят предупреждение о том, на их девайс может быть установлена малварь.
На такие мошеннические страницы злоумышленники заманивают пользователей посредством SMS. Обычно подобные сообщения замаскированы под пропущенные доставки посылок или якобы украденные у жертвы фотографии, которые уже загружены в сеть.
Напомню, что обычно FluBot распространялся на другие телефоны на базе Android, рассылая текстовые сообщения контактам, ранее украденным с других зараженных устройств. Пользователям велят устанавливать вредоносные приложения в виде APK-файлов, доставляемых с серверов, контролируемых злоумышленниками.
После развертывания малварь пытается обманом заставить жертву предоставить ей дополнительные права на устройстве через Android Accessibility service, что позволит ей скрывать и выполнять вредоносные задачи в фоновом режиме. В конечном итоге FluBot захватит зараженное устройство, получив доступ к платежной и банковской информации.
Также вредонос похищает и пересылает адресную книгу жертвы на свой управляющий сервер (и контакты передаются другим спам-ботам FluBot), отслеживает системные уведомления об активности приложений, читает SMS-сообщения и может совершать телефонные звонки.
