Malware de Android se espalha a partir de falsas atualizações de segurança

O malware FluBot está usando novas táticas para infectar dispositivos Android, tentando enganar vítimas para baixarem e executarem o vírus a partir de falsos avisos de atualizações de segurança.

• Vírus de Android rouba usuários após infectar mais de 10 milhões de dispositivos
• Estes falsos apps para Android exploram empresas brasileiras para roubos via Pix
• Facebook libera ferramenta de segurança para desenvolvedores de Java e Android

A Equipe de Respostas de Emergências Computacionais da Nova Zelândia (CERT, na sigla em inglês), pelo seu perfil oficial no Twitter, explicou que, primeiro, os criminosos enviam uma mensagem SMS para o alvo, avisando sobre encomendas perdidas ou fotos roubadas que estão sendo disponibilizadas online. No final da mensagem, um link para um site é disponibilizado.

Quando o site é acessado, uma mensagem é exibida, alertando os visitantes que seus dispositivos Android estão infectados com o FluBot. Logo depois, pede que uma atualização de segurança do Android seja instalada para remoção do vírus. A mensagem também pede para que as vítimas habilitem a instalação de apps desconhecidos em seus aparelhos, caso a notificação de que programas maliciosos não podem ser instalados apareça. 

A CERT explica que, se um aparelho está exibindo a página, ele não está necessariamente infectado com o FluBot. Porém, se as instruções presente no site forem seguidas, o vírus com certeza irá se instalar no dispositivo. 

O histórico do FluBot

O FluBot, também conhecido como Cabassous e Fedex Banker, é um malware bancário que está ativo desde meados de 2020, e é usado para roubar credenciais de bancos, informações de pagamento, ler mensagens de texto e adquirir os contatos dos dispositivos infectados.

No começo de suas operações, seus ataques eram focados na Espanha, mas com o passar do tempo ele foi se expandindo para outros países da Europa, como Alemanha e Reino Unido, e também para a Austrália e para o Japão

Em março, a polícia da Espanha afirmou ter prendido os líderes da equipe criminosa responsável pelo FluBot. No mesmo mês, a firma de segurança suiça PRODAFT afirmou que esses vírus já tinham infectado cerca de 60 mil dispositivos, com informações de contato de cerca de 25% da população da Espanha. 

Os relatos anteriores de ataques do FluBot mostravam que ele infecta celulares Android a partir de mensagens de texto, que pediam para as vítimas instalarem aplicativos maliciosos baixados a partir de servidores controlados pelos criminosos. 

Após algum tempo da infecção, tanto na versão anterior quanto na alertada pela CERT, ele pede permissões adicionais para o usuário, que o possibilitam acessar o serviço de acessibilidade do Android, assim permitindo que o vírus possa executar e esconder atividades maliciosas da interface do usuário.

Tudo isso resulta no FluBot efetivamente assumindo o controle do aparelho infectado, e tendo acesso as informações de pagamento e de contas bancárias do usuário, a partir de processos de phishing onde interfaces falsas são colocadas acima dos aplicativos reais, sem que a vítima tenha conhecimento. 

O FluBot também coleta e envia os contados do celular para seu servidor de comando e controle (computador responsável por controlar e dar ordens ao malware), monitora as notificações do sistema para observar as atividades de aplicativos, le mensagens SMS e pode fazer chamadas telefônicas.

Se você acredita que seu dispositivo pode estar infectado com o FluBot, as ações mais recomendadas são a remoção dele a partir de  soluções anti-vírus para Android, ou deletando diretamente o aplicativo que, segundo o genreciador de bateria, estiver usando energia de forma fora do comum do aparelho. Esse gasto atípico de carga é um dos sinais do ataque deste malware.

Em uma medida mais extrema, uma restauração para configurações de fábrica dos celulares Android também remove o FluBot. 

Fonte: BleepingComputer, BugsFighter