Onderzoekers van het Bitdefender Mobile Threats-team zeiden dat ze sinds begin december meer dan 100.000 kwaadaardige sms-berichten hebben onderschept die probeerden Flubot-malware te verspreiden.
“Bevindingen wijzen erop dat aanvallers hun onderwerpregels aanpassen en oudere, maar bewezen oplichting gebruiken om gebruikers te verleiden om te klikken”, aldus het Roemeense cyberbeveiligingsbedrijf. gedetailleerd in een woensdag gepubliceerd rapport. “Bovendien veranderen aanvallers snel de landen waarop ze zich in deze campagne richten.”
De nieuwe golf van aanvallen zou het meest actief zijn geweest in onder meer Australië, Duitsland, Polen, Spanje, Oostenrijk en Italië, met aanvallen die zich vanaf medio januari uitbreidden naar nieuwere landen zoals Roemenië, Nederland en Thailand.
FluBot-campagnes (ook bekend als Cabassous) gebruiken smishing als de primaire leveringsmethode om potentiële slachtoffers te targeten, waarbij gebruikers een sms-bericht ontvangen met de vraag “Ben jij dit in deze video?” en worden misleid om op een link te klikken die de malware installeert.
“Deze nieuwe vector voor banking trojans laat zien dat aanvallers verder willen gaan dan de reguliere kwaadaardige sms-berichten”, aldus de onderzoekers.
TeaBot doet zich voor als QR-codescanner-apps
Het is niet alleen FluBot. Een andere Android-trojan genaamd TeaBot (ook bekend als Anatsa) is waargenomen op de loer in de Google Play Store in de vorm van een app genaamd “QR Code Reader – Scanner App”, die niet minder dan 100.000 downloads aantrok en tussen december 17 verschillende varianten van de malware afleverde. 6, 2021 en 17 januari 2022.
In een tactiek die steeds gebruikelijker wordt, biedt de app de beloofde functionaliteit, maar is ook ontworpen om een kwaadaardig APK-bestand op GitHub op te halen, maar niet voordat is vastgesteld dat de landcode van de huidige geregistreerde operator niet begint met een ” U.”
De installatie van de frauduleuze app omvat vervolgens het presenteren van een valse gebruikersinterface die de gebruiker op de hoogte stelt dat een add-on-update vereist is en dat de instelling om toe te staan installeert van onbekende bronnen moet worden ingeschakeld om de update toe te passen.
BitDefender zei dat het nog vier dropper-apps heeft geïdentificeerd – 2FA Authenticator, QR Scanner APK, QR Code Scan en Smart Cleaner – die beschikbaar waren in de Play Store en de TeaBot-malware distribueerde sinds ten minste april 2021.
Een andere interessante techniek die door de operators wordt gebruikt, is versiebeheer, dat werkt door een goedaardige versie van een app naar de app store te sturen om het beoordelingsproces van Google te omzeilen, alleen om de codebase in de loop van de tijd te vervangen door extra kwaadaardige functionaliteit via updates op een later tijdstip.
Naast het omzeilen van de Play Store-beveiligingen om een grotere infectiepool te bereiken, wordt aangenomen dat de operators hebben betaald om te verschijnen in Google Ads die wordt weergegeven in andere legitieme applicaties en games, “waardoor ze schermtijd krijgen in een app die miljoenen gebruikers zou kunnen hebben.”
De analyse bevestigt ook een eerder rapport van het Nederlandse cyberbeveiligingsbedrijf ThreatFabric, dat sinds juni 2021 zes Anatsa-droppers in de Play Store vond. De apps waren geprogrammeerd om een ”update” te downloaden, gevolgd door gebruikers te vragen hen toegankelijkheidsservice-privileges en -machtigingen te verlenen om te installeren apps van onbekende bronnen van derden.
“Kwaadwillende actoren behandelen malware als een product, met ontwikkeling en versiebeheer, en werken er hard aan om beveiligingstechnologieën te omzeilen en meer slachtoffers te maken”, zegt Richard Melick, directeur productstrategie voor eindpuntbeveiliging bij Zimperium.
“Wanneer een versie wordt verstoord, gaan de kwaadwillende actoren terug naar het ontwikkelen van de volgende versie, vooral wanneer de resultaten effectief zijn geweest. En het mobiele eindpunt is een ongelooflijk lucratief doelwit voor aanvallers”, voegde Melick eraan toe.
Van GriftHorse tot Dark Haring
De ontwikkeling komt op het moment dat Zimperium zLabs details onthulde van weer een andere premium service misbruikcampagne in de trant van GriftHorse die maar liefst 470 goedaardige apps gebruikte om gebruikers te abonneren op betaalde services die $ 15 per maand kosten zonder hun medeweten.
De factureringsfraude, ook gecategoriseerd als ‘fleeceware’, zou meer dan 105 miljoen gebruikers in meer dan 70 landen hebben getroffen, met de meeste slachtoffers in Egypte, Finland, India, Pakistan en Zweden.
De gigantische operatie, die het mobiele beveiligingsbedrijf met de codenaam “Dark Herring” heeft uitgevoerd, is terug te voeren tot maart 2020, waardoor het een van de langstlopende mobiele sms-zwendel is die tot nu toe is ontdekt.
Hoewel het enorme nest van trojan-apps sindsdien uit de Play Store is verwijderd, zijn ze nog steeds beschikbaar in app-stores van derden, wat nogmaals de potentiële gevaren onderstreept als het gaat om het sideloaden van applicaties op mobiele apparaten.
“Naast meer dan 470 Android-applicaties, was de distributie van de applicaties buitengewoon goed gepland, waarbij hun apps over meerdere, gevarieerde categorieën werden verspreid, waardoor het bereik van potentiële slachtoffers werd vergroot,” Zimperium-onderzoeker Aazim Yaswant zei. “De apps zelf functioneerden ook zoals geadverteerd, waardoor het valse gevoel van vertrouwen toenam.”
