Oszuści poprzez SMS-y informujące o wiadomości głosowej infekują telefony złośliwym oprogramowaniem FluBot. Skutkuje to utratą kontroli nad urządzeniem oraz przejęciem danych uwierzytelniających do bankowości, co prowadzi do kradzieży środków pieniężnych z konta.

Infekcja telefonu złośliwym oprogramowaniem daje cyberprzestępcom bardzo duże możliwości. Dlatego często powracają do znanych już schematów i w wiadomościach SMS nakłaniają do pobrania różnych aplikacji, które są złośliwe. Na blogu opisywaliśmy m.in. podszywanie się pod operatorów Play oraz Orange, złośliwe aplikacje InPost, a także Lidl.

Wiadomości SMS

W ostatnich dniach obserwujemy kampanię oszustów polegającą na masowym wysyłaniu wiadomości SMS z informacją o rzekomej nowej wiadomości na poczcie głosowej. Odtworzenie jej jest możliwe po przejściu na wskazaną w wiadomości stronę.

SMS

Na stronie podanej w wiadomości SMS wyświetlone zostaje logo naszego operatora oraz numer telefonu wraz z długością wiadomości głosowej. Zgodnie z informacją poczta głosowa jest w formacie wysokiej jakości i można ją odsłuchać tylko w dedykowanej aplikacji Voicemail. Pobranie jej jest możliwe poprzez kliknięcie w przycisk Pobierz aplikację poczty głosowej. Dodatkowo na stronie został zamieszczony komunikat mówiący o tym, że należy włączyć w systemie Android możliwość instalacji nieznanych aplikacji.

W rzeczywistości aplikacja Voicemail jest złośliwym oprogramowaniem FluBot, o którym informowaliśmy na naszym blogu podczas poprzedniej, zakrojonej na szeroką skalę, kampanii wykorzystującej wizerunek DHL.

FluBot_1

Złośliwa aplikacja Voicemail

Po instalacji aplikacji Voicemail oraz jej uruchomieniu wymagane są określone działania. W pierwszym kroku należy włączyć usługę ułatwień dostępu. Podczas jej aktywacji zostajemy poinformowani przez system Android o potencjalnych niebezpieczeństwach. Aplikacja Voicemail będzie miała pełną kontrolę nad urządzeniem. Pozwoli to jej m.in. na wyświetlanie zawartości ekranu oraz sterowania nim.

FluBot_2

W kolejnym kroku należy zezwolić aplikacji Voicemail na dostęp do powiadomień. Włączenie tej opcji skutkuje tym, że aplikacja będzie mogła czytać wszystkie powiadomienia, w tym dane osobowe takie jak nazwy kontaktów i treści otrzymywanych wiadomości. Ponadto pozwoli to na odrzucanie oraz odbieranie połączeń telefonicznych.

FluBot_3-1

Zezwolenie na wyżej opisane żądania skutkuje utratą kontroli nad naszym telefonem. Aplikacja w sposób automatyczny, bez ingerencji oraz wiedzy użytkownika przyznaje sobie szereg dodatkowych uprawnień. Wśród nich znajduje się dostęp do kontaktów oraz wiadomości SMS. Dodatkowo aplikacja ustawia samą siebie jako domyślną aplikację do SMS-ów.

FluBot_aplikacja_SMS

Atak na bankowość

Głównym celem złośliwej aplikacji Voicemail jest kradzież danych dostępowych do bankowości. Uruchomienie atakowanej aplikacji bankowości skutkuje wyświetleniem nakładki, która imituje oryginalny panel logowania. Wprowadzone dane uwierzytelniające są natychmiast przesyłane do cyberprzestępców, którzy będą mogli zalogować się do naszego konta.

Ponieważ aplikacja Voicemail w trakcie działania przyznaje sobie uprawnienia dotyczące wiadomości SMS może przechwytywać wiadomości SMS z banku z kodami autoryzacyjnymi. Cyberprzestępcy mogą zatem zlecać przelewy z naszego konta, dodawać zaufanych odbiorców, zrywać lokaty, czy wykonywać jeszcze inne operacje, które docelowo pozbawią nas środków zgromadzonych na koncie.
FluBot_bank_1

Dystrybucja

Malware FluBot posiada funkcjonalność polegającą na możliwości dalszej propagacji poprzez wysyłanie wiadomości SMS do kontaktów z zainfekowanego telefonu. Dzieje się to bez wiedzy użytkownika. Dzięki temu jedna infekcja pozwala oszustom na dotarcie do kolejnych osób poprzez wiadomości SMS informujące o rzekomej wiadomości na poczcie głosowej.

Oszuści do celów ataku przygotowali wiele złośliwych stron wykorzystywanych do pobierania malware FluBot. Nasze analizy oraz zgłoszenia użytkowników poprzez stronę ZGŁOŚINCYDENT pozwoliły na ujawnienie bardzo dużej ilości złośliwych stron.

BrowserWall

Wszystkie zidentyfikowane przez nas domeny wykorzystywane w tym ataku są blokowane w BrowserWall DNS oraz dostępne w CTI Feed.

Podsumowanie

Malware FluBot jest popularnym rodzajem złośliwego oprogramowania na system Android. Po zainfekowaniu telefonu możemy stracić nie tylko dostęp do konta bankowego, ale także i do telefonu. Ponadto, z naszego numeru mogą być rozsyłane wiadomości SMS i to bez naszej wiedzy.

Jeśli otrzymacie podobną wiadomość informującą o poczcie głosowej - bądźcie ostrożni. Przede wszystkim nie instalujcie żadnych aplikacji z poza oficjalnych sklepów z aplikacjami, takich jak Google Play. Jak pokazuje czas kampanie SMS, za pomocą których dystrybuowane jest złośliwe oprogramowanie FluBot wracają co jakiś czas. Dlatego warto być świadomym zagrożenia i czujnym.