FluBot Android Malware

De FluBot Android Malware verspreidt zich in hoog tempo over Android-apparaten omdat het tot doel heeft bankgegevens en bankpas- / creditcardgegevens te verzamelen. De dreiging werd ontdekt door de infosec-onderzoekers van het Zwitserse cyberbeveiligingsbedrijf PRODAFT. Volgens hun schattingen is FluBot er al in geslaagd compromissen te sluiten over meer dan 60.000 Android-apparaten die zich voornamelijk in Spanje bevinden. Vanwege het vermogen van de dreiging om de volledige lijst met contactpersonen van de geïnfecteerde gebruikers te verkrijgen, voorspellen de analisten dat de aanvallers nu de telefoonnummers hebben van 11 miljoen gebruikers, wat neerkomt op 25% van de totale bevolking van Spanje. De FluBot Android Malware wordt verspreid via sms met manipulatieve haken die zijn ontworpen om de gebruiker te misleiden om op de verstrekte link te klikken. Vervolgens wordt de nietsvermoedende Android-gebruiker naar een gecompromitteerd domein gebracht waar de FluBot Android Malware wordt gehost onder het mom van legitiem klinkende applicaties. De toepassingen die door de dreiging worden nagebootst, zijn onder meer FedEx, DHL, Correos en Chrome. Na installatie vraagt FluBot de gebruiker om hem toegang te verlenen tot de toegankelijkheidsservices van Android. Als dit lukt, kan de dreiging een breed scala aan bedreigende activiteiten uitvoeren. FluBot kan schermtikken imiteren zonder medeweten van de gebruiker, sms-berichten lezen en schrijven, bellen, enz. De dreiging zal talloze nep-inlogpagina's downloaden voor verschillende banktoepassingen en deze vervolgens over de legitieme toepassing heen leggen via webweergave. Alle informatie die door de gebruiker wordt ingevoerd, wordt verzameld en verzonden naar de Command-and-Control-server (C2, C&C). FluBot kan ook eenmalige wachtwoorden (OTP's) of toegangssleutels onderscheppen die door de gerichte banktoepassingen naar het geïnfecteerde Android-apparaat worden verzonden. Door toegang te hebben tot de volledige contactlijsten van de gebruiker, kan FluBot zichzelf exponentieel verspreiden door bedreigende sms-berichten te verzenden vanaf het gecompromitteerde apparaat. Zelfs als gebruikers weten dat FluBot op hun systeem aanwezig is, kan het verwijderen van de dreiging moeilijk blijken te zijn. Elke poging om de applicatie te verwijderen wordt onderbroken door een toastmelding waarin staat dat 'U deze actie niet kunt uitvoeren op een servicesysteem', gevolgd door FluBot die de applicatie Instellingen onmiddellijk met geweld afsluit. Om hun apparaten schoon te maken, moeten getroffen gebruikers mogelijk een open-source-applicatie genaamd malninstall downloaden die is gemaakt met het doel de FluBot Android Malware specifiek te verwijderen.