Uluslararası bir kolluk kuvvetleri ekibi, tehdit aktörlerinin en az Aralık 2020’den beri şifreleri, banka hesap bilgilerini ve Android kullanıcılarının diğer hassas verilerini çalmak için kullandığı özellikle zararlı bir kötü amaçlı yazılım aracı olan FluBot ile ilişkili altyapıyı başarıyla bozdu.
Europol, FluBot’un altyapısının artık kolluk kuvvetlerinin kontrolü altında olduğunu belirterek, Çarşamba günü yayından kaldırmayı duyurdu.
“11 ülkeyi kapsayan uluslararası bir kolluk operasyonu, en hızlı yayılan mobil kötü amaçlı yazılımlardan birinin kaldırılması Europol, “Bu küresel kötü amaçlı yazılım kampanyasının arkasındaki kişileri belirlemek için soruşturma devam ediyor.”
Araştırmacılar, FluBot’un (o zamanlar Cabassous olarak anılırdı) ilk olarak Aralık 2020’de İspanya’daki Android kullanıcılarını hedef aldığını tespit etti. Gelecek yıl boyunca, kötü amaçlı yazılım, Europol’ün birden fazla cihazda “çok sayıda” olarak tanımladığı Android cihazına orman yangını gibi yayıldı. Almanya, İngiltere, Fransa, Finlandiya, Avustralya ve Yeni Zelanda dahil olmak üzere ülkeler.
Hızlı Yayılan Bir Viral Tehdit
FluBot, alıcıların kötü amaçlı yazılımı akıllı telefonlarına indirmeleri için bir bağlantıya tıklamasını sağlamak için çeşitli bahaneler kullanan SMS kimlik avı mesajları (smishing) yoluyla yayılır. Kötü amaçlı yazılımın ilk günlerinde, SMS mesajlarının FedEx ve DHL gibi bir paketi bırakmaya çalışan dağıtım şirketlerinden geldiği iddia edildi. Görünüşe göre teslimatı yeniden planlamak için bağlantıya tıklamaları için kandırılan kullanıcılar, teslimat şirketinin mobil uygulaması gibi görünen kötü amaçlı yazılımı Android cihazlarına indirdi.
Kötü amaçlı yazılım, yüklendikten sonra cihazda, verildiği takdirde ödeme kartı verilerini, banka hesap bilgilerini ve diğer hassas verileri çalmak için kullanacağı belirli erişim ayrıcalıkları arar. Kötü amaçlı yazılım ayrıca kısa mesajları ele geçirmek ve okumak, sayfaları açmak, Google Play Protect’i devre dışı bırakmak ve virüslü bir cihazdan çeşitli uygulamaları kaldırmak için tasarlandı.
Ayrıca FluBot, virüslü cihaz sahibinin kişi listesini kopyalar ve tüm numaralara virüslü bağlantılar içeren SMS mesajları gönderir. hızla yayılmasına katkıda bulunmuştur. güvenlik sağlayıcısı Bitdefender’a göre. Kötü amaçlı yazılımın yazarları muhtemelen onu farklı tehdit aktörlerine bir hizmet olarak sattı ve viral yayılmasına katkıda bulundu.
2021 boyunca, tehdit aktörleri, bir fotoğraf paylaşmak isteyen bir arkadaştan geldiği iddia edilen ve kullanıcıları sahte bir mesaj dinlemeye çalışan bir diğeri de dahil olmak üzere, kullanıcıları kötü amaçlı bağlantıya tıklamaya çalışmak ve kandırmak için farklı SMS mesajları kullandı. sesli mesaj. Bitdefender araştırmacıları, saldırganların, alıcıları cihazlarına FluBot bulaştığı konusunda yeterince ironik bir şekilde uyaran ve mesaj bağlantısını tıklayarak düzeltici önlem almaları için SMS kimlik avı mesajları gönderdiğini bile gözlemledi. Bu Ocak ayındaki bir raporda Bitdefender şunları belirledi: FluBot’tan en çok etkilenen ülke AvustralyaAlmanya, Polonya, İspanya ve Avusturya takip ediyor.
Geçen yıl FluBot’u izleyen Proofpoint araştırmacıları, FluBot SMS mesajlarını hem İngilizce hem de Almanca olarak gözlemlediklerini bildirdi. Satıcı, daha fazlasını tanımladığını söyledi. 700 benzersiz alan FluBot aktörlerinin yalnızca İngilizce kampanyası için kullandıkları.
Android Tehditleri Artmaya Devam Ediyor
FluBot’un kaldırılması, son yıllarda Android cihaz kullanıcıları için en büyük tehditlerden birini geçici olarak ortadan kaldırır. Ancak, vahşi doğada çok sayıda diğer benzer kötü amaçlı yazılım araçları ciddi bir tehdit oluşturmaya devam ediyor. ThreatFabric’in yakın tarihli bir raporu, bir Android kötü amaçlı yazılım ailelerinde devam eden artış Dolandırıcılık işlemlerinin virüslü bir cihazdan başlatılmasını sağlayan Joker gibi. Diğer örnekler Alien, Cerberus, Hydra ve Octo’dur.
ThreatFabric, Android kötü amaçlı yazılım ailelerindeki artışa, Google’ın resmi Play mobil uygulama mağazasında meşru uygulamalar kılığına giren kötü amaçlı yazılım düşürücülerin sayısındaki artışın da eşlik ettiğini söyledi. Bunlar arasında 10.000’den fazla kez indirilen NanoCleaner adlı bir uygulama var. Gerçekte NanoCleaner, Hydra için bir damlalıktır.
Benzer şekilde, 10.000’den fazla yüklemeye sahip Pocket Screencaster adlı başka bir uygulama, Octo için bir düşürücüdür ve 50.000’den fazla yüklemeye sahip Fast Cleaner adlı bir başka uygulama, Alien ve Octo için gerçekten bir düşürücüdür.
ThreatFabric, “Tehdit aktörleri, Google Play’deki damlaları kurbanlara kötü amaçlı yazılım dağıtmanın en etkili yollarından biri olarak görmeye devam ediyor.” Dedi.