FluBot Android间谍软件在全球执法行动中被取缔

一项涉及11个国家的国际执法行动最终击落了一种名为FluBot的臭名昭著的移动恶意软件威胁。

欧洲刑警组织（Europol）在一份声明中表示：“这种Android恶意软件一直在通过短信、窃取密码、网上银行详细信息和其他来自世界各地受感染智能手机的敏感信息进行大规模传播。”

“复杂调查”包括澳大利亚、比利时、芬兰、匈牙利、爱尔兰、罗马尼亚、西班牙、瑞典、瑞士、荷兰和美国的有关部门。

FluBot，也称为Cabassus，于2020年12月在野外出现，在看似无害的包裹跟踪应用程序（如FedEx、DHL和Correos）背后掩盖了其阴险的意图。

它主要通过smishing（又名基于短信的网络钓鱼）消息传播，这些消息诱骗毫无戒心的收件人点击链接下载带有恶意软件的应用程序。

一旦启动，该应用程序将继续请求访问Android的易访问性服务，以秘密窃取加密货币应用程序中存储的银行帐户凭据和其他敏感信息。

更糟糕的是，该恶意软件通过发送包含FluBot恶意软件链接的消息，利用其对存储在受感染设备中的联系人的访问，进一步传播感染。

FluBot活动虽然主要是一种Android恶意软件，但近几个月来也演变为以iOS用户为目标，试图访问受感染链接的用户会被重定向到钓鱼网站和订阅欺诈。

该机构指出：“这一FluBot基础设施现在处于执法部门的控制之下，阻止了破坏性的螺旋上升。”并补充说，荷兰警方上个月策划了此次扣押行动。

根据ThreatFabric 2022年上半年的移动威胁状况报告，FluBot是仅次于Hydra的第二大最活跃的银行特洛伊木马，占1月至5月期间观察到的样本的20.9%。

ThreatFabric创始人兼首席执行官HanSahin告诉《黑客新闻》：“ThreatFabric在此案中与执法部门密切合作。”

“考虑到FluBot威胁参与者在通过HTTPS服务通过公共DNS隧道进行DNS分发和托管其后端时，拥有或拥有最具弹性的策略之一，这是一场伟大的胜利。C2托管和前置中的这种后端弹性使荷兰数字犯罪股的努力令人印象深刻。”

这家荷兰网络安全公司还指出，FluBot运营商开发的独特恶意软件样本在5月19日之后停止使用，正好在采取行动的时候，有效地减缓了他们的“蠕动努力”。

Sahin补充道：“由于FluBot不是最强的Android银行特洛伊木马，[拆除]对移动威胁格局的总体影响有限”。对于任何用户来说，Exobot、Anatsa、Gustuff都是一个真正的问题。FluBot背后的力量始终是感染人数。