De FluBot-malware die gegevens van Androidtelefoons steelt om bankfraude mee te plegen verspreidt zich nu ook via zogenaamde beveiligingsupdates. Dat laat het Computer Emergency Response Team (CERT) van de Nieuw-Zeelandse overheid op Twitter weten.

De zogenaamde beveiligingsupdate wordt aangeboden op een pagina die op een waarschuwing lijkt en claimt dat de Androidtelefoon van de gebruiker besmet is met de FluBot-malware. Om de malware te verwijderen moet de aangeboden update worden geïnstalleerd, maar in werkelijkheid is dit de FluBot-malware. Daarbij geeft de waarschuwing ook instructies hoe "onbekende apps" kunnen worden geïnstalleerd, aangezien Android dit standaard blokkeert.

FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan Flubot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt hiervoor welke applicaties erop het toestel geïnstalleerd staan.

In het geval van bankapplicaties zal Flubot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst Flubot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen.

Eerder dit jaar vonden er in tal van landen, waaronder ook Nederland, meerdere campagnes plaats waarbij FluBot via malafide sms-berichten werd verspreid. Deze berichten leken van pakketbezorgers DHL en UPS afkomstig en gingen over nog te ontvangen postpakketten. In juli waarschuwde de Nederlandse politie dat er ook malafide sms-berichten werden verstuurd waarin werd gesteld dat er een voicemailbericht voor de gebruiker klaarstond.