Pelaku Ancaman Menyelimuti Android dengan Flubot, Kampanye Teabot

Researchers telah menemukan serangkaian kampanye aktif yang mengirimkan trojan Flubot dan Teabot melalui berbagai metode pengiriman, dengan pelaku ancaman menggunakan aplikasi Google Play yang merusak dan berbahaya untuk menargetkan korban dengan serangan fly-by di berbagai wilayah di seluruh dunia.

Peneliti dari Bitdefender Labs mengatakan mereka telah mencegat lebih dari 100.000 pesan SMS berbahaya yang mencoba mendistribusikan malware Flubot sejak awal Desember, menurut laporan yang diterbitkan Rabu.

Selama pengamatan mereka terhadap Flubot, tim juga menemukan aplikasi pembaca kode QR yang telah diunduh lebih dari 100.000 kali dari Google Play Store dan yang telah mengirimkan 17 varian Teabot yang berbeda, kata mereka.

Flubot dan Teabot muncul tahun lalu sebagai trojan perbankan yang relatif mudah mencuri perbankan, kontak, SMS, dan jenis data pribadi lainnya dari perangkat yang terinfeksi. Namun, operator di belakang mereka memiliki metode unik untuk menyebarkan malware, membuat mereka sangat jahat dan jangkauannya jauh.

Mengubahnya

Flubot pertama kali ditemukan pada bulan April yang menargetkan pengguna Android di Inggris dan Eropa menggunakan pesan SMS berbahaya yang mendorong penerima untuk menginstal aplikasi “pengiriman paket tidak terjawab”, menunjukkan fitur malware yang memungkinkan penyerang menggunakan command-and-control (C2) untuk mengirim pesan ke korban.

Fitur ini memungkinkan operator mengubah target dan fitur malware lainnya dengan cepat, memperluas serangan mereka muncul ke skala global tanpa memerlukan infrastruktur yang kompleks. Memang, kampanye di akhir tahun menargetkan pengguna Android di Selandia Baru dan Finlandia.

“Ancaman ini bertahan karena mereka datang dalam gelombang dengan pesan yang berbeda dan di zona waktu yang berbeda,” tulis peneliti Bitdefender dalam laporan tersebut. “Sementara malware itu sendiri tetap cukup statis, pesan yang digunakan untuk membawanya, domain yang menghosting dropper, dan yang lainnya terus berubah.”

Aspek global fly-by dari aktor ancaman di balik trojan ini terbukti dalam yang terbaru. Peneliti kampanye Flubot mengamati, kata mereka, dengan operator yang menargetkan zona geografis yang berbeda untuk waktu yang singkat – terkadang hanya selama beberapa hari, tulis mereka.

“Misalnya, di bulan antara 1 Desember tahun lalu dan 2 Januari tahun tahun ini, malware tersebut sangat aktif di Australia, Jerman, Spanyol, Italia, dan beberapa negara Eropa lainnya,” tulis para peneliti.

Kampanye antara 15 Januari dan 18 Januari kemudian bergeser ke bagian lain dunia, termasuk Rumania, Polandia, Belanda, Spanyol, dan bahkan Thailand, mereka menemukan.

Malware yang Sama, Beberapa Trik Baru

Penyerang juga tidak hanya mencoba mengelabui pengguna agar berpikir bahwa mereka melewatkan pengiriman paket – apa yang disebut Bitdefender “kurir palsu m essages” – untuk mendistribusikan Flubot.

Meskipun taktik ini ada di hampir 52 persen kampanye yang diamati oleh para peneliti, mereka juga menggunakan penipuan yang dijuluki “apakah ini Anda dalam video ini” yang merupakan kelanjutan dari kampanye pencurian kredensial yang telah beredar tanpa henti di media sosial di sekitar 25 persen dari kampanye yang diamati, tulis para peneliti.

Penipuan video “adalah ini Anda” yang asli telah didistribusikan terutama di Facebook Messenger selama beberapa tahun, dengan pengguna menerima pesan dari seorang teman di daftar mereka dengan pertanyaan, “Apakah ini Anda di video ini?” atau beberapa variasi, bersama dengan tautan, mereka menjelaskan.

“Ketika korban mengklik tautan, biasanya mengarahkan mereka ke login Facebook palsu yang memberi penyerang akses langsung ke kredensial,” jelas peneliti. trik dan menggunakan variasinya di salah satu kampanye smishing yang diamati, dengan pengguna menerima pesan SMS yang menanyakan, “Apakah ini Anda di video ini?” tulis peneliti.

Tapi tujuan kampanyenya sama: entah bagaimana menyesatkan pengguna agar menginstal perangkat lunak dengan dalih tertentu, tulis mereka. Namun, dalam versi Flubot, pesan tersebut memberi tahu mereka bahwa Flash atau beberapa komponen Android sebenarnya memerlukan peningkatan setelah mereka membuka tautan yang memberi tahu mereka bahwa mereka mungkin ada dalam video, mereka menjelaskan.

“Vektor baru untuk trojan perbankan ini menunjukkan bahwa penyerang ingin memperluas pesan SMS berbahaya yang biasa,” catat para peneliti.

Di antara umpan lainnya, operator Flubot juga menggunakan pesan SMS yang menggunakan pembaruan browser palsu dan pemberitahuan pesan suara palsu di sekitar 8 persen kampanye yang diamati, masing-masing, kata para peneliti.

QR Reader Drops Teabot Variants

Saat menyelidiki Flubot, para peneliti juga menemukan varian Teabot yang diinstal pada perangkat tanpa SMS berbahaya yang dikirim, kata mereka. Penyelidikan lebih lanjut mengungkapkan aplikasi penetes di Google Play Store bernama “Pembaca Kode QR – Aplikasi Pemindai” yang telah mendistribusikan 17 varian Teabot yang berbeda selama kurang lebih sebulan, kata peneliti. aplikasi memiliki jejak minimal, mereka mengamati. Namun, aplikasi mengikuti jalur yang agak aneh setelah penginstalan dalam cara menjalankan Teabot pada perangkat yang memberi operator rentang kendali yang tidak biasa atas muatan, kata peneliti.

“Ketika pengguna memulai aplikasi Android, itu juga memulai layanan latar belakang yang memeriksa kode negara dari operator terdaftar saat ini (atau ponsel terdekat),” tulis mereka. “Jika negara dimulai dengan ‘U’ atau tidak tersedia, aplikasi melompati mengeksekusi kode berbahaya, yang berarti bahwa negara-negara seperti Ukraina, Uzbekistan, Uruguay, dan AS dilewati.”

Jika aplikasi lolos pemeriksaan, aplikasi mengambil konteksnya dari file pengaturan dari alamat GitHub yang menyertakan tautan file repositori github berbeda yang menunjuk ke muatan sebenarnya untuk diunduh.

“File pengaturan ini, dari repositori Pembaca Kode QR, memiliki URL yang berubah setiap kali URL muatan yang berbeda diperlukan atau bahkan dihapus jika penulis ingin menonaktifkan perilaku jahat untuk sementara,” jelas peneliti.