Eine internationale Strafverfolgungsoperation, an der 11 Länder beteiligt waren, hat zur Zerschlagung einer berüchtigten mobilen Malware namens FluBot geführt.
„Diese Android-Malware hat sich aggressiv über SMS verbreitet und Passwörter, Online-Banking-Daten und andere sensible Informationen von infizierten Smartphones auf der ganzen Welt gestohlen“, so Europol in einer Erklärung.
An der „komplexen Untersuchung“ waren Behörden aus Australien, Belgien, Finnland, Ungarn, Irland, Rumänien, Spanien, Schweden, der Schweiz, den Niederlanden und den USA beteiligt.
FluBot, auch Cabassous genannt, tauchte im Dezember 2020 in freier Wildbahn auf und verbarg seine heimtückischen Absichten hinter scheinbar harmlosen Paketverfolgungsanwendungen wie FedEx, DHL und Correos.
Er verbreitet sich hauptsächlich über Smishing-Nachrichten (auch SMS-Phishing genannt), die ahnungslose Empfänger dazu verleiten, auf einen Link zu klicken, um die mit Malware verseuchten Apps herunterzuladen.
Sobald die App gestartet ist, fordert sie Zugriff auf den Accessibility Service von Android an, um heimlich Bankdaten und andere sensible Informationen, die in Kryptowährungs-Apps gespeichert sind, auszuspähen.
Zu allem Übel nutzte die Malware ihren Zugriff auf die auf dem infizierten Gerät gespeicherten Kontakte, um die Infektion weiter zu verbreiten, indem sie Nachrichten mit Links zur FluBot-Malware verschickte.
FluBot-Kampagnen sind zwar in erster Linie eine Android-Malware, haben aber in den letzten Monaten auch iOS-Nutzer/innen ins Visier genommen, die beim Versuch, auf die infizierten Links zuzugreifen, auf Phishing-Seiten und Abo-Betrug umgeleitet werden.
„Diese FluBot-Infrastruktur ist nun unter der Kontrolle der Strafverfolgungsbehörden, um der zerstörerischen Spirale Einhalt zu gebieten“, erklärte die Behörde und fügte hinzu, dass die niederländische Polizei die Beschlagnahmung im vergangenen Monat veranlasst hat.
Laut dem ThreatFabric-Bericht zur mobilen Bedrohungslandschaft für das erste Halbjahr 2022 war FluBot der zweitaktivste Banking-Trojaner hinter Hydra und machte 20,9 % der zwischen Januar und Mai beobachteten Muster aus.
„ThreatFabric hat in diesem Fall eng mit den Strafverfolgungsbehörden zusammengearbeitet“, sagte Gründer und Geschäftsführer Han Sahin gegenüber The Hacker News.
„Es ist ein großer Erfolg, wenn man bedenkt, dass FluBot-Bedrohungsakteure eine der widerstandsfähigsten Strategien haben oder hatten, wenn es um die Verbreitung und das Hosting ihrer Backends mit DNS-Tunneling durch öffentliche DNS-over-HTTPS-Dienste geht. Diese Ausfallsicherheit beim C2-Hosting und Fronting ist es, was die Bemühungen der niederländischen Einheit für digitale Kriminalität so beeindruckend macht.“
Das niederländische Cybersicherheitsunternehmen stellte außerdem fest, dass die von den Betreibern von FluBot entwickelten Malware-Samples nach dem 19. Mai, also zeitgleich mit dem Takedown, aufhörten, sich zu verbreiten, was ihre „Wurmkampagnen“ effektiv verlangsamte.
„Die Gesamtauswirkungen [der Zerschlagung] auf die mobile Bedrohungslandschaft sind begrenzt, da FluBot nicht der stärkste Android-Bankentrojaner ist“, so Sahin weiter. „Exobot, Anatsa, Gustuff – die sind ein echtes Problem für jeden Nutzer. Die Stärke von FluBot waren schon immer seine Infektionszahlen.“