Опасный для Android-пользователей троян Flubot распространяется по Европе

В Великобритании распространяется новое шпионское ПО под названием Flubot посредством SMS-рассылки, сообщает «Би-Би-Си».

Пользователям приходит сообщение от компании по доставке товаров, в котором им предлагается установить приложение для отслеживания посылок, которое на самом деле является вредоносным ПО.

«Мы считаем, что нынешняя волна вредоносных SMS-атак Flubot очень быстро набирает обороты, и это нужно срочно остановить. Люди должны быть бдительны и не переходить по всем ссылкам, которые им присылают в сообщениях», — заявила пресс-секретарь оператора Vodafone. По данным компании, уже было отправлено несколько миллионов подобных сообщений.

Flubot захватывает устройство жертвы и начинает шпионить за телефоном, собирая конфиденциальную информацию, включая данные онлайн-банкинга.

Более того, вредоносная программа имеет возможность отправлять текстовые сообщения контактам зараженного пользователя, помогая Flubot распространяться.

Такая атака может быть проведена лишь против пользователей Android-устройств. При нажатии на ссылку, указанную в сообщении, пользователь может увидеть инструкцию по загрузке приложения с помощью APK-файлов, которые помогают устанавливать ПО не из Google Play. По умолчанию такие приложения будут заблокированы системой, однако страница мошенников содержит инструкции о том, как разрешить установку.

Вредоносная программа Flubot также получила распространение и в других странах — в частности, в Испании, Германии и Польше.

Как отмечает PR-менеджер ESET в России Михаил Бочаров, Flubot был детектирован в начале 2021 года, и его жертвами стали уже десятки тысяч пользователей.

«Сперва банковский троян орудовал в Испании, но после уведомления правоохранительных органов этой страны аналитиками по кибербезопасности, злоумышленники сосредоточились на пользователях Android в Великобритании», — поделился Бочаров.

По его словам, вредоносная программа собирает учетные данные онлайн-банкинга и банковских карт, используя поддельный экран логина поверх настоящих приложений.

То есть пользователь уверен в том, что заносит свои идентификационные данные в привычное финансовое приложение, но на самом деле информация считывается ресурсом мошенников.

«Распространение Flubot происходит через СМС. Если пользователь загружает файлы, переходя по ссылке из сообщения, то вредоносная программа выполняет команды по нажатию клавиш втайне от владельца, перехватывает уведомления, а также получает доступ к адресной книге – для дальнейшего распространения вируса по контактам жертвы. В связи с этим скорость распространения Flubot очень большая», — рассказал эксперт.

Вредоносная программа получает контроль над устройством только после определенных действий пользователя: когда владелец игнорирует уведомления систем безопасности и предоставляет доступ к Accessibility service на смартфоне, предупредил эксперт.

«Зловред Flubot известен с января этого года и уже широко распространился в Европе: чаще всего он встречался в Германии. В России, по нашим данным, в первом квартале было зафиксировано совсем немного атак с его использованием», — отметил исследователь мобильных угроз в «Лаборатории Касперского» Виктор Чебышев.

По словам Чебышева, вредоносная программа активно использует так называемые специальные возможности на Android: получив к ним доступ сразу же после запуска, троян сам предоставит себе другие разрешения, в частности доступ к SMS, а также может активно противодействовать своему удалению с устройства.

Чтобы не стать жертвой такого трояна эксперт рекомендует запретить установку приложений из сторонних источников и установить антивирус.

Ондржей Дэвид, руководитель группы анализа вредоносных программ в Avast отметил, что Flubot маскируется под почтовые службы или сервисы доставки посылок, используя текст: «Ваша посылка прибывает, скачайте приложение для отслеживания» или «Вы пропустили доставку посылки, загрузите приложение для отслеживания».

Как заверяет Дэвид на конец марта Flubot уже заразил 60 000 устройств, а общее количество собранных злоумышленниками телефонных номеров оценивалось в 11 миллионов.

«Мы видели очень мало атак, исходящих от этого ПО из России. Насколько нам известно, российские пользователи пока не входят в цели FluBot. Но все равно есть потенциальная возможность, что масштабы операции могут быть расширены – и будущем Flubot может быть направлен на Россию. Основные цели Flubot на данный момент: Испания, Италия, Германия, Венгрия, Польша и Великобритания», — заявил эксперт.