Por meio do NCSC-FI, a Finlândia emitiu um alerta sobre o malware bancário Flubot, uma ameaça que foca pesadamente nos usuários do Android.
O Centro Nacional de Segurança Cibernética da Finlândia (NCSC-FI) emitiu um “alerta severo” para alertar sobre uma campanha massiva que visa os usuários do Android do país com malware bancário Flubot enviado por mensagens de texto enviadas de dispositivos comprometidos.
Finlândia emitiu um alerta sobre o malware bancário Flubot
Esta é a segunda campanha Flubot em grande escala que atingiu a Finlândia este ano, com uma série anterior de ataques SMS enviando spam para milhares de Fins todos os dias entre o início de junho e meados de agosto de 2021.
Assim como aconteceu no verão, a nova campanha de spam também usa o tema de correio de voz, pedindo aos alvos que abram um link que lhes permitiria acessar uma mensagem de correio de voz ou da operadora móvel.
No entanto, os destinatários do SMS são redirecionados para sites maliciosos que empurram os instaladores do APK para implantar o malware bancário Flubot em seus dispositivos Android em vez de abrir um correio de voz.
Os alvos que usam iPhones ou outros dispositivos apenas serão redirecionados para outras páginas fraudulentas e provavelmente também maliciosas, como páginas de destino de phishing que tentam fazer o phishing dos detalhes do cartão de crédito.
“De acordo com nossa estimativa atual, cerca de 70.000 mensagens foram enviadas nas últimas 24 horas. Se a campanha atual for tão agressiva quanto a do verão, esperamos que o número de mensagens aumente para centenas de milhares nos próximos dias. Já existem dezenas de casos confirmados em que os dispositivos foram infectados.”, disse o Centro Nacional de Segurança Cibernética da Finlândia no alerta emitido na sexta-feira.
“Conseguimos eliminar quase completamente o FluBot da Finlândia no final do verão graças à cooperação entre as autoridades e as operadoras de telecomunicações. A campanha de malware atualmente ativa é nova, porque as medidas de controle implementadas anteriormente não são eficazes”, disse NCSC-FI consultor de segurança da informação Aino-Maria Väyrynen.
Os usuários do Android que recebem mensagens de spam do Flubot são aconselhados a não abrir os links incorporados ou baixar os arquivos compartilhados por meio do link para seus smartphones.
Be aware of malware spread by SMS ⚠️
The #FluBot campaign has become active again, and the malware is being spread by SMS. Scam messages written in Finnish are being sent to tens of thousands of people in Finland.https://t.co/TRXQa5Jv9D
— NCSC-FI (@CERTFI) November 26, 2021
Malware de Android banking se torna global
Este malware bancário (também conhecido como Fedex Banker e Cabassous) está ativo desde o final de 2020 e é usado para roubar credenciais bancárias, informações de pagamento, mensagens de texto e contatos de dispositivos infectados.
Inicialmente, o botnet visava principalmente usuários do Android da Espanha. No entanto, agora se expandiu para atingir outros países europeus (Alemanha, Polônia, Hungria, Reino Unido, Suíça) e Austrália e Japão nos últimos meses, embora a polícia catalã tenha prendido os líderes da gangue em março.
Depois de infectar um dispositivo Android, o Flubot se espalha para outras pessoas enviando mensagens de texto para contatos roubados e instruindo os alvos a instalar aplicativos repletos de malware na forma de APKs. No mês passado, o Flubot também começou a enganar suas vítimas para que se infectassem usando avisos de atualizações de segurança falsos de infecções do Flubot.
Uma vez implantado em um novo dispositivo, ele tentará induzir as vítimas a conceder permissões adicionais e conceder acesso ao serviço de acessibilidade do Android, permitindo que ele oculte e execute tarefas maliciosas em segundo plano.
Em seguida, ele assume o controle do dispositivo infectado, obtém acesso às informações bancárias e de pagamento das vítimas por meio de páginas de phishing do webview sobrepostas às interfaces legítimas de aplicativos de criptomoeda e mobile banking.
O Flubot também exfiltra o catálogo de endereços para o servidor de comando e controle (com os contatos posteriormente enviados a outros bots do Flubot para enviar spam), lê mensagens SMS, faz ligações e monitora notificações do sistema quanto à atividade do aplicativo.
Recomenda-se que aqueles que infectaram seus dispositivos com malware Flubot tomem as seguintes medidas:
- Execute uma redefinição de fábrica no dispositivo. Se você restaurar suas configurações a partir de um backup, certifique-se de restaurar a partir de um backup criado antes da instalação do malware.
- Se você usou um aplicativo bancário ou manipulou informações de cartão de crédito no dispositivo infectado, entre em contato com seu banco.
- Relate quaisquer perdas financeiras à polícia.
- Redefina suas senhas em todos os serviços que você usou com o dispositivo. O malware pode ter roubado sua senha se você tiver feito login depois de instalar o malware.
- Entre em contato com sua operadora, pois sua assinatura pode ter sido usada para enviar mensagens de texto sujeitas a cobrança. O malware atualmente ativo para dispositivos Android se espalha enviando mensagens de texto de dispositivos infectados.
