FluBot e TeaBot: novas campanhas de malwares visam usuários de Android
Em todo mundo, atacantes conduzem ataques em ondas de curto prazo e usando diferentes tipos de isca para cada paísBy - Liliane Nakagawa, 28 janeiro 2022 às 16:00
Novas campanhas de propagação de malware FluBot e TeaBot usando iscas típicas ou aplicativos de dispositivos Android têm sido descobertas recentemente por pesquisadores da Bitdefender. Focos têm sido identificados em países como Austrália, Alemanha, Polônia, Espanha e Romênia.
Para se espalhar, o FluBot se utiliza de mensagens SMS com tópicos persuasivos como “É você neste vídeo?”, atualizações falsas do navegador, notificações falsas de correio de voz.
Pesquisadores Bitdefender Labs interceptaram mais de 100 mil SMS maliciosos desde 2021 em uma recente campanha usando o malware. De acordo com o relatório, os operadores do FluBot conduzem ataques em ondas de curto prazo e iscas diferentes para cada país alvo.
Após infectar um dispositivo, a lista de contato da vítima é usada pelo malware para distribuir outras iscas SMS, obtendo desta forma melhores taxas de infecção devido à confiança dos destinatários nos contatos conhecidos.
Apesar de ter permanecido ativo ao longo do ano de 2021, relatórios ainda apontam intensa atividade do FluBot em 2022.
TeaBot: trojan bancário tem crescimento na loja Google Play
Trata-se de um trojan bancário de Android descoberto há um ano e que tem alcance global. Segundo relatos da Bitdefender, a TeaBot tem feitos várias aparições na loja oficial de apps do Google em dezembro de 2021.
Os pesquisadores afirmam que o malware é distribuído às vítimas por aplicativos contendo trojans encontrados na Play Store. Seis deles, que aparecem na lista abaixo, são os campeões em download:
QR Code Reader – Scanner App — 100.000 downloads
QR Scanner APK — 10.000 downloads
QR Code Scan — 10.000 downloads
Smart Cleaner — 1.000 downloads
Weather Cast — 10.000 downloads
Weather Daily — 10.000 downloads
Nenhum desses aplicativos acima apresentava alguma funcionalidade maliciosa — todas ofereciam os recursos prometidos —, o que permitia a eles passarem sem restrições pela revisão da Play Store, alcançando um ambiente de infecções mais amplo.
Além disso, para promoverem esses aplicativos ativamente, anúncios do Google foram pagos pelos atacantes dentro de outros aplicativos e jogos.
Uma vez instalado e executado no dispositivo da vítima, o trojan bancário inicia um serviço que roda em background que identifica o código do país, se o resultado apontar para países como Ucrânia, Uzbequistão, Uruguai ou Estados Unidos, o serviço cessa.
O aplicativo recupera a sua configuração para todas as outras vítimas, pegando uma APK de um repositório GitHub, o qual contém uma variante TeaBot. Enquanto isso, os aplicativos solicitam ao usuário a permissão que terceiros instalassem pacotes.
De acordo com os pesquisadores da Bitdefender, no período de 6 de dezembro a 17 de janeiro de 2022, 14 versões diferentes do TeaBot foram encontrados em aplicativos listados.
Assim como outros malwares, a campanha do TeaBot é mais uma que ilustra que, mesmo instalando um software de uma loja oficial Google Play, não há garantias suficientes de segurança aos usuários.
Esta não é a primeira vez que o TeaBot consegue se infiltrar na Play Store por meio de aplicativos legítimos, portanto, improvável que seja a última. Portanto, é aconselhável que usuários do Android permaneçam atentos às novas instalações, verificando reviews, monitorando a rede do aplicativo e o consumo de bateria, além de não conceder permissões suspeitas.
Via BleepingComputer
Comentários