Los investigadores han descubierto una gran cantidad de campañas activas que entregan los troyanos Flubot y Teabot a través de una variedad de métodos de entrega, con actores de amenazas que usan aplicaciones maliciosas y smishing de Google Play para apuntar a las víctimas con ataques aéreos en varias regiones del mundo.
Los investigadores de Bitdefender Labs dijeron que han interceptado más de 100.000 mensajes SMS maliciosos que intentaban distribuir el malware Flubot desde principios de diciembre, según un informe publicado el miércoles.
Durante su observación de Flubot, el equipo también descubrió una aplicación de lectura de códigos QR que se ha descargado más de 100 000 veces desde la tienda Google Play y que ha entregado 17 variantes diferentes de Teabot, dijeron.
Flubot y Teabot aparecieron en escena el año pasado como troyanos bancarios relativamente sencillos que roban datos bancarios, de contacto, SMS y otros tipos de datos privados de los dispositivos infectados. Sin embargo, los operadores detrás de ellos tienen métodos únicos para propagar el malware, lo que los hace particularmente desagradables y de gran alcance.
cambiándolo
Flubot se descubrió por primera vez en abril dirigido a usuarios de Android en el Reino Unido y Europa mediante mensajes SMS maliciosos que incitaban a los destinatarios a instalar una aplicación de "entrega de paquetes perdidos", lo que demuestra una característica del malware que permite a los atacantes usar comando y control (C2) para enviar mensajes a las víctimas.
Esta función permite a los operadores cambiar rápidamente los objetivos y otras funciones de malware sobre la marcha, ampliando su superficie de ataque a una escala global sin necesidad de una infraestructura compleja. De hecho, más adelante en el año, las campañas se dirigieron a los usuarios de Android en Nueva Zelanda y Finlandia .
“Estas amenazas sobreviven porque vienen en oleadas con diferentes mensajes y en diferentes zonas horarias”, escribieron los investigadores de Bitdefender en el informe. “Si bien el malware en sí permanece bastante estático, el mensaje que se usa para transmitirlo, los dominios que alojan los droppers y todo lo demás cambia constantemente”.
Este aspecto de sobrevuelo global de los actores de amenazas detrás de los troyanos es evidente en las campañas más recientes de Flubot que observaron los investigadores, dijeron, con operadores que apuntan a diferentes zonas geográficas por períodos cortos de tiempo, a veces solo por unos días, escribieron.
“Por ejemplo, en el mes entre el 1 de diciembre del año pasado y el 2 de enero de este año, el malware estuvo muy activo en Australia, Alemania, España, Italia y algunos otros países europeos”, escribieron los investigadores.
Descubrieron que las campañas entre el 15 y el 18 de enero se trasladaron a otras partes del mundo, como Rumania, Polonia, los Países Bajos, España e incluso Tailandia.
Mismo malware, algunos trucos nuevos
Los atacantes también se extendieron más allá de tratar de engañar a los usuarios para que pensaran que se perdieron la entrega de un paquete, lo que Bitdefender denominó "mensajes de mensajería falsos", para distribuir Flubot.
Aunque esta táctica estuvo presente en casi el 52 por ciento de las campañas que observaron los investigadores, también usaron una estafa denominada "¿eres tú en este video?" que es un despegue de una campaña de robo de credenciales que ha estado circulando sin descanso en las redes sociales en aproximadamente 25 por ciento de las campañas observadas, escribieron los investigadores.
La estafa de video original "eres tú" se ha distribuido principalmente en Facebook Messenger durante un par de años, y los usuarios reciben un mensaje de un amigo en su lista con una pregunta: "¿Eres tú en este video?" o alguna variación, junto con un enlace, explicaron.
“Cuando la víctima hace clic en el enlace, generalmente los redirige a un inicio de sesión falso de Facebook que brinda a los atacantes acceso directo a las credenciales”, explicaron los investigadores.
Los operadores de Flubot se han dado cuenta de este truco y están utilizando una variación del mismo en una de las campañas de smishing observadas, en la que los usuarios reciben un mensaje SMS que pregunta: "¿Eres tú en este video?" escribieron los investigadores.
Pero el objetivo de la campaña es el mismo: engañar de alguna manera a los usuarios para que instalen el software con algún pretexto, escribieron. Sin embargo, en la versión de Flubot, el mensaje les dice que Flash o algún componente de Android realmente necesita una actualización después de haber abierto el enlace que les informa que podrían estar en un video, explicaron.
“Este nuevo vector de troyanos bancarios muestra que los atacantes buscan expandirse más allá de los mensajes SMS maliciosos habituales”, señalaron los investigadores.
Entre otros señuelos, los operadores de Flubot también usaron mensajes SMS empleando actualizaciones de navegador falsas y notificaciones de correo de voz falsas en alrededor del 8 por ciento de las campañas observadas, respectivamente, dijeron los investigadores.
Lector QR lanza variantes de Teabot
Mientras investigaban a Flubot, los investigadores también descubrieron que se instalaba una variante de Teabot en dispositivos sin que se enviara un SMS malicioso, dijeron. Investigaciones posteriores revelaron una aplicación cuentagotas en Google Play Store llamada "Lector de códigos QR - Aplicación de escáner" que ha estado distribuyendo 17 variantes diferentes de Teabot durante poco más de un mes, dijeron los investigadores.
La aplicación en sí no es maliciosa y el código malicioso dentro de la aplicación tiene una huella mínima, observaron. Sin embargo, la aplicación sigue un camino bastante curioso después de la instalación en la forma en que ejecuta Teabot en un dispositivo que brinda a los operadores un rango inusual de control sobre la carga útil, dijeron los investigadores.
“Cuando el usuario inicia la aplicación de Android, también inicia un servicio en segundo plano que verifica el código de país del operador registrado actual (o el celular cercano)”, escribieron. "Si el país comienza con una 'U' o no está disponible, la aplicación omite la ejecución del código malicioso, lo que significa que se omiten países como Ucrania, Uzbekistán, Uruguay y EE. UU."
Si la aplicación pasa la verificación, recupera el contexto de un archivo de configuración de una dirección de GitHub que incluye un enlace de archivo de repositorio de Github diferente que apunta a la carga útil real para descargar.
“Este archivo de configuración, del repositorio del lector de códigos QR, cambia la URL cada vez que se necesita una URL de carga útil diferente o incluso se elimina si los autores desean desactivar el comportamiento malicioso temporalmente”, explicaron los investigadores.
Fuente: https://threatpost.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios