Android银行木马FluBot冒充国际物流公司

Posted on by

预先警告是预先准备好的,FluBot 恶意软件的案例也不例外,因为它准备进一步传播。
FluBot 恶意软件于 2020 年 12 月下旬由 ESET在西班牙首次发现,已于 2021年传播到德国、波兰、意大利和荷兰等国家。臭名昭著的是发送带有下载恶意应用程序链接的短信 (SMS), FluBot 主要针对 Android 用户,但也针对 iPhone 用户。

虽然 FluBot 经历了几个开发阶段,但在倒数第二个 3.9 版本中,FluBot 开始在意大利开展活动,并使用 Cloudflare 的DNS over HTTPS服务,这是一种将域名解析为 IP 地址的加密协议。现在,在4.0 版中,FluBot 正在继续扩大其视野,代码表明它正准备第一次打击世界上更多的国家——或者在某些情况下,再次打击——包括英国、丹麦、芬兰、瑞典、挪威和日本。

使用ESET Mobile Security保护其移动设备的 Android 用户也受到 FluBot 的保护,并且可以找到任何检测到的名为 Android/TrojanDropper.Agent 系列变体的恶意软件。然而,由于许多 Android 用户可能没有受到移动安全解决方案的保护,因此更容易受到这种威胁的影响,让我们仔细看看 FluBot 使用的诡计,并提供一些建议以确保安全。

来自您的包裹递送服务的“无辜”短信?

FluBot 的运营商通常通过大量发送 SMS 消息来发起他们的活动,其中与运输和交付相关的各种消息之一伴随着恶意链接。2021 年 3 月,ESET 遥测系统收到一条针对德国 Android 用户的短信,内容为:“您的包裹已送达,请在此处跟踪。”


德国的这项特殊活动于 3 月 15 日开始,并在几天内使数十名用户受害。其他消息示例包括:

  • UPS:您的包裹到了。UPS在线追踪:gdtmtx[.]com/4/
  • 你好{用户名}。请确认您今天的送货详情,否则您的包裹将被退回:witheaseappareloptin[.]com/app/
  • 您好,您的货件已于 2021 年 5 月 3 日送达货站。在此处查看您可以在哪里领取包裹:ekremakin[.]org/pack/
  • NACEX 建议:包裹 303/03445873 的状态不存在通知。您可以从visotka[.]in/pack/或 TLF.936372200 进行管理
  • 我们无法递送您的包裹。点击链接创建新的交货日期:sekolahalmunasemarang[.]sch[.]id/url/

任何被欺骗点击恶意链接的人都会被发送到一个伪装成国际物流公司的网页,如 DHL、FedEx 或最近的 UPS。当然,区域性和地方性的物流公司也在 FluBot 的冒充范围之内。此策略的目的是让 Android 用户下载并安装带有 FluBot 的恶意应用程序,例如下图中的 FedEx 应用程序:

123


请注意,真正的FedEx Mobile应用程序不会要求获得使用无障碍服务的许可。

安装后,恶意应用程序能够检测移动设备上与银行或加密货币相关的其他应用程序。下次用户打开这些金融应用程序之一时,FluBot 可以在原始应用程序上叠加一个令人信服但虚假的覆盖窗口,以窃取他们的凭据。 

iPhone 用户也不能免于成为 FluBot 的目标——不同之处在于没有提供恶意应用程序。取而代之的是使用网络钓鱼诈骗,例如虚假的亚马逊调查,要求提供信用卡详细信息并提供虚假的奖励承诺。


探索 FluBot 活动的规模

在 FluBot 活动的前两个月——从 2020 年 12 月下旬到 2021 年 2 月下旬——主要目标显然是西班牙的 Android 用户。2 月底,一项估计发现西班牙多达 60,000 台 Android 设备成为 FluBot 的受害者。此外,FluBot 的运营商收集了超过 1100 万个电话号码,几乎全部属于西班牙居民。

此后不久,即 3 月初,有几篇新闻报道称,FluBot 背后的部分犯罪团伙已在巴塞罗那的一次警方行动中被拘留。. 然而,该信息是错误的,因为被捕的团伙使用网站而非恶意应用程序来冒充 Correos(西班牙国家邮政服务)等物流公司并窃取信用卡信息。此外,考虑到在这些无关的逮捕之后 FluBot 攻击仍在继续,并且恶意软件在地下黑客论坛上做广告,FluBot 的开发人员显然仍然逍遥法外,并以恶意软件即服务的形式出售他们的产品。

事实上,随着 FluBot 攻击在欧洲取得成功,其他恶意行为者一直在复制 FluBot 使用短信和冒充物流公司的恶意应用程序的策略。例如,TeaBot(又名 Anatsa 和 Toddler)就是这种情况,这是1 月份发现的另一个 Android 银行木马 从使用假媒体播放器转变为冒充物流公司的假应用程序。
 

警惕恶意短信、虚假应用程序和其他技巧

看到过去几周 FluBot 活动迅速扩大,请记住以下建议:

  • 单击通过短信发送的链接之前要三思。相反,请访问官方网站并输入任何声称的跟踪号码以验证它们是真实的。
  • 请勿从 Google Play 等外部官方应用商店下载应用。
  • 请注意您授予应用程序的权限。如果您发现请求的权限可疑地不适合应用程序的声明目的,则可能是一个危险信号,表明您正在处理恶意应用程序。
  • 在下载应用程序之前,对开发者、应用程序的评级和用户评论进行一些研究。特别注意负面评论——有些应用程序太好了,令人难以置信。
  • 使用信誉良好的安全解决方案,例如ESET Mobile Security。
  • 如果您不幸安装了恶意应用程序,可以按照 ESET 研究人员 Lukaš Štefanko 的视频中的步骤操作,该视频详细介绍了如何识别恶意应用程序并以安全模式启动手机以将其卸载。