国际执法部门目前已经摧毁了Flubot背后的基础设施,这是一个令人十分讨厌的恶意软件,自2020年12月以来就以前所未有的速度在全球Android设备上进行传播。
欧洲刑警组织周三透露,通过11个国家的执法部门之间的合作,荷兰警方(或称Politie)终于在5月初摧毁了Flubot网络,据该机构称,此次行动使得这种恶意软件不会再活跃。
澳大利亚、比利时、芬兰、匈牙利、爱尔兰、西班牙、瑞典、瑞士、荷兰和美国的执法部门在欧洲刑警组织的欧洲网络犯罪中心(EC3)的协调下,参与了这项打击工作。
具体而言,EC3与受影响国家的安全调查员进行了合作,制定了一项联合战略,提供了各种数字取证支持手段,并且此次行动也促进了各个国家实体之间的业务信息交流。
欧洲刑警组织称,国际执法小组将会继续寻找该攻击活动的幕后成员,不过目前这些人仍然在逃。
像野火一样迅速蔓延
Flubot通过短信进行传播,这些短信会诱使安卓用户点击一个链接并安装一个应用程序,然后才可以追踪到一个包裹的交付信息或接听到一个虚假的语音信箱信息。这些恶意链接就会安装FluBot木马,然后要求获取设备上的权限,从而导致各种欺诈行为。
虽然FluBot的攻击行为更像是一个典型的木马文件,它可以窃取银行应用程序或加密货币账户的各种凭证,并禁用应用内置的各种安全措施。但其运营商通过使用独特的方法,使得该恶意软件能够像野火一样迅速传播。
BitDefender的研究人员在1月份观察到,这些应用一旦被安装在设备上,Flubot就会访问这些用户的联系人名单,并开始向名单上的每个人发送新的信息,创造出一种动态的、跨时区和地区的病毒传播效应。
他们在当时发表的一份报告中写道,这些威胁之所以能够存在,是因为它们会在不同的时区使用不同的信息一次又一次地进行攻击。虽然恶意软件本身的功能并没有发生变化,但投放者所使用的域名以及其他信息都在不断变化。
研究人员指出,正是这一特点使得Flubot的操作者能够迅速改变目标以及其他恶意软件的特征,这使得他们的攻击面会瞬间从新西兰和芬兰这样的区域不断进行扩大。
改变攻击战术
除了利用目标用户自己的联系人名单来传播恶意软件外,Flubot运营商还采用了一些独特且具有创造性的战术,试图诱骗安卓用户下载该木马,甚至在其全球攻击活动期间与另一个移动威胁集团联手合作。
去年10月,Flubot使用了一个虚假的安全警告,并试图欺骗用户认为他们的设备已经感染了Flubot,让他们去点击一个通过短信来传播的虚假的安全更新。这种独特的战术主要用在了针对新西兰的安卓用户的攻击活动中。
几个月后,在今年2月,Flubot将其基础设施与另一个被称为Medusa的移动威胁集团进行了合作,Medusa是一个移动银行木马,ThreatFabric的研究人员发现,该木马可以获得对用户设备的近乎完全的控制。这种威胁组织之间的合作关系导致了全球大量的恶意软件的攻击活动。
事实上,即使Flubot没有出现,目前的安卓用户也仍然需要警惕威胁。最近出现了一种被称为"EnemyBot"的可利用现有漏洞进行攻击的物联网恶意软件,其目标是安卓设备以及内容管理系统和网络服务器。
根据ThreatFabric最近发布的一份关于当前移动威胁的报告,其他普遍存在的威胁,如Joker fleeceware和可能在受感染设备上进行欺诈交易的恶意软件,如Octo和Ermac,也会继续对安卓用户构成重大的安全风险.
本文翻译自:https://threatpost.com/international-authorities-take-down-flubot-malware-network/179825/如若转载,请注明原文地址。