11 ülkeyi kapsayan uluslararası bir kolluk kuvveti operasyonu, FluBot adlı kötü şöhretli bir mobil kötü amaçlı yazılım tehdidinin ortadan kaldırılmasıyla sonuçlandı.
Europol, “Bu Android kötü amaçlı yazılımı SMS yoluyla saldırgan bir şekilde yayılıyor, şifreleri, çevrimiçi bankacılık ayrıntılarını ve diğer hassas bilgileri çalıyor, virüs bulaşmış akıllı telefonlardan dünyanın her yerindeki diğer hassas bilgileri çalıyor.” söz konusu Bir açıklamada.
“Karmaşık soruşturma” Avustralya, Belçika, Finlandiya, Macaristan, İrlanda, Romanya, İspanya, İsveç, İsviçre, Hollanda ve ABD’den yetkilileri içeriyordu.
Cabassous olarak da adlandırılan FluBot, FedEx, DHL ve Correos gibi görünüşte zararsız paket takip uygulamalarının ardındaki sinsi niyetini maskeleyerek Aralık 2020’de vahşi doğada ortaya çıktı.
Öncelikle, şüpheli olmayan alıcıları kötü amaçlı yazılım yüklü uygulamaları indirmek için bir bağlantıya tıklamaları için kandıran smishing (diğer bir deyişle SMS tabanlı kimlik avı) mesajları yoluyla yayılır.
Uygulama başlatıldığında, banka hesabı kimlik bilgilerini ve kripto para birimi uygulamalarında saklanan diğer hassas bilgileri gizlice çekmek için Android’in Erişilebilirlik Hizmetine erişim talep etmeye devam edecek.
Daha da kötüsü, kötü amaçlı yazılım, FluBot kötü amaçlı yazılımına bağlantılar içeren mesajlar göndererek enfeksiyonu daha da yaymak için virüslü cihazda depolanan kişilere erişiminden yararlandı.
FluBot kampanyaları, öncelikle bir Android kötü amaçlı yazılım olmasına rağmen, aynı zamanda iOS kullanıcılarını hedeflemek için geliştirildi Son aylarda, virüslü bağlantılara erişmeye çalışan kullanıcılar kimlik avı sitelerine ve abonelik dolandırıcılığına yönlendirilir.
Ajans, “Bu FluBot altyapısı şu anda kolluk kuvvetlerinin kontrolü altında ve yıkıcı sarmalı durduruyor” diyerek, Hollanda Polisinin geçen ay el koymayı düzenlediğini de sözlerine ekledi.
ThreatFabric’in 2022’nin ilk yarısı için mobil tehdit ortamı raporuna göre FluBot, Hydra’nın ardından en aktif ikinci bankacılık truva atıydı ve Ocak ve Mayıs arasında gözlemlenen örneklerin %20,9’unu oluşturuyordu.
Kurucu ve CEO Han Şahin, The Hacker News’e verdiği demeçte, “ThreatFabric, davada kolluk kuvvetleriyle yakın bir şekilde çalıştı” dedi.
“FluBot tehdit aktörlerinin, arka uçlarının Genel DNS üzerinden HTTPS hizmetleri aracılığıyla DNS tüneli oluşturma. C2 barındırma ve cephe oluşturmadaki bu arka uç esnekliği, Hollandalı dijital suç birimi çok etkileyici.”
Hollandalı siber güvenlik şirketi ayrıca, FluBot operatörleri tarafından geliştirilen benzersiz kötü amaçlı yazılım örneklerinin 19 Mayıs’tan sonra durdurulduğunu ve yayından kaldırmayla aynı zamana denk geldiğini ve “kurtarma çabalarını” etkin bir şekilde yavaşlattığını kaydetti.
“Genel etki [of the dismantling] FluBot en güçlü Android bankacılık truva atı olmadığı için mobil tehdit ortamı sınırlıdır,” diye ekledi Şahin, “Exo, Anatsa, Gustuff, bunlar herhangi bir kullanıcı için gerçek bir sorun. FluBot’un arkasındaki güç her zaman [its] enfeksiyon numaraları.”