Új FluBot-kampány söpör végig Európán, amely az Android és iOS felhasználókat egyaránt célozza

2022. május 31., 18:52

A FluBot nevű kártevőt alkalmazó támadók egy megújult smishing-kampánnyal céloznak meg több európai országot. És ennek köszönhetően az adatlopó malware már megint úgy terjed, mint a nátha: emberről-emberre ugrálva, és gyorsan.

A legújabb FluBot-kampány, amelyet a Bitdefender eredetileg húsvét körül észlelt Romániában, majd pár héttel ezelőtt Finnországban is detektált, a korábbiakhoz hasonló smishing-technikát alkalmaz: a hamis, csaló tartalmat jellemzően hangüzenetet hirdető SMS-ben küldi meg a felhasználóknak. Az Android és iPhone felhasználók ezúttal közel azonos dózisban kapják az SMS-eket, de az elsődleges célpont továbbra is az Android felhasználók.

A FluBot senkit sem kímél

Az egész egy hamis tartalmat hirdető SMS-szel kezdődik, amelyben egy hamisított link található.

A FluBot egy szofisztikált banki trójai, ami adatok lop a felhasználó készülékéről, és SMS valamint MMS útján terjed. A mostani kampány hasonló az elődeihez: a felhasználók SMS-t vagy MMS-t kapnak, amely hamis hangüzenethez, nem fogadott híváshoz vagy ismeretlen pénzügyi tranzakcióhoz kötődő linket is tartalmaz. Ezt követően, ha valaki megnyitja a linket, kap egy telepítési felszólítás / engedélykérést, ami jelen esetben egy hamis Voicemail alkalmazás telepítését foglalja magában, amire azért van szüksége a leendő áldozatnak, hogy meghallgathasson egy állítólagos hangüzenetet.

A támadók fő célja, hogy az említett alkalmazás installálásával rávegyék a felhasználókat a FluBot banki trójai saját kezű telepítésére. Ha az áldozat követi az utasításokat, a hamis Voicemail alkalmazás hozzáférési engedélyeket kér az eszközön lévő számos funkcióhoz: SMS és MSM küldés-fogádás, az áldozat hitelkártya és bejelentkezési adataihoz (valamint hitelesítő adataihoz is). Innen már csak egy rövid lépés az anyagi haszonszerzés.

A FluBot sajátossága, hogy nem csak a pénzügyi applikációkat képes letükrözni, lemásolni, hanem az áldozat készülékén található névjegyzékhez is hozzáfér, így a bűnözők a csaló üzenethez hasonló, vagy azzal azonos üzeneteket tudnak küldeni más hívószámokra. Ha a FluBot megkapja a hozzáférést, összegyűjti az áldozat elérhetőségeit, és az SMS-alkalmazás segítségével folytatja a rosszindulatú linkek terjesztését a mobil ökoszisztémában, miközben adatokat lop és küld a C&C szerverre. Fontos azonban kiemelni, hogy a fertőzött nem a saját ismerőseinek küldi tovább az üzeneteket, hanem ismeretleneknek, ahogy arra parancsot kap a háttérben működő disztribúciós rendszertől. A fertőzött készülék kimenő üzenetei között ugyanakkor nem látható az alkalmazás által elküldött SMS. Mindezeknek köszönhetően gyorsan terjed, mint az influenza. Innen kapta a nevét is. Mindezek mellett a hozzáférési jogosultságait is felhasználja, hogy megnehezítse a felhasználó számára az alkalmazás eltávolítását.

A FluBot és az iOS esete

Fontos, hogy a FluBot alapesetben nem fut iOS-en. De amikor az iPhone-tulajdonosok elérik a fertőzött linkeket, a támadók különféle adathalász oldalakra irányítják át őket, és ún. prémium előfizetési és más social engineering típusú csalásokkal próbálják átverni az iOS rendszert használókat.

Az alábbi példában egy tipikus felmérési csalás bontakozik ki. Az áldozatokat arra ösztönzik, hogy válaszoljanak néhány piackutatási kérdésre egy garantált iPhone 13-ért.

Európai célpont a fókuszban

A Romániában kibontakozó húsvéti kampányt követően a Bitdefender Európára kiterjedő mélyebb elemzésbe, és monitorozásba kezdett a FluBot tevékenységével kapcsolatosan, amely során megállapította, hogy április és május hónapokban jelentős ugrás figyelhető meg a telemetriai adatokban. Ez nemcsak a Romániában detektált megjelenéssel van összhangban, hanem a Finnországból érkező jelentésekkel is. A finnek hat hónapon belül a második nagyobb FluBot-kampány elszenvedésénél tartanak, amiről korábban szintén írtunk már. Mindkét kampányban erősen lokalizált, románul és finnül jól megfogalmazott üzeneteket láttak a Bitdefender szakértői, ami arra utal, hogy a FluBot üzemeltetői már sokkal több időt és erőfeszítést fektetnek a hatókörük kiterjesztésébe: mind a platform, mind a nyelv tekintetében.

A jelenlegi Európára kiterjesztett és összehangolt kampány során több országot is célba vettek a támadók. Leginkább Németország, Románia, az Egyesült Királyság, Lengyelország, Spanyolország, Svédország, Ausztria, Finnország és Dánia érintettségét kell kiemelni. Románia és Németország messze a legcélzottabb régiók ebben a megfiatalított FluBot-kampányban, együttesen 67%-os részesedéssel, ahogy az alábbi diagram mutatja.

Bár több régiót ugyanabban az időben ért támadás, az adatokból jól látható, hogy a támadási csúcsok valójában nem estek egybe. Ez arra utal, hogy a kezdetektől fogva egyedi, lokalizált kampányokkal kell szembenéznünk. A prognózis szerint a jelenlegi kampány további országokban is megjelenhet, főleg, ha korábban már volt erre precedens, így Magyarország is a támadók célkeresztjében lehet.

A FluBot jelenleg gyakorlatilag országra – országra terjed: az észlelések például Lengyelországban éppen akkor kezdtek el fokozódni, amikor Romániában a támadások száma csökkent. A finneket és a svédeket hasonló módon célozták meg: a svédországi észlelések csökkenése a finnországi kampány felfutásával párhuzamosan történt. Vagy például megemlíthetnénk Belgiumot, ahol a csúcsidőszak akkor volt, amikor Spanyolországban már éppen csökkenő tendenciát mutatott a kártevő megjelenési száma.

Összességében úgy tűnik, hogy a FluBot üzemeltetői a kisebb, egyedi kampányok egyes országokra történő lokalizálására koncentrálnak, ügyelve arra, hogy az egyes országokban mindig máskor legyen csúcsán a kampány: így a támadóknak több idejük marad az adott nemzettel foglalkozni.

Valószínűleg nem ez az utolsó FluBot, amit idén látni fogunk

Annak ellenére, hogy az utóbbi időben több, a rosszindulatú szoftver működtetésével gyanúsított személyt letartóztattak, a FluBot kampányok időről időre felütik fejüket, és egyre erősebbé, de leginkább lokálissá válnak. Vagy akár azt is mondhatnánk: célzottabbak lettek. Mindez azt jelenti, hogy a jövőben további támadási hullámokra kell számítani. Sőt, az is elképzelhető, hogy más smishing jellegű kampány majd hasonló gyorsasággal tud elterjedni az európai régióban, így akár Magyarországin is.

Mivel a FluBot aktivitása növekszik, a Bitdefender erősen ajánlja a felhasználóknak, hogy telepítsenek olyan biztonsági megoldást az eszközükre, amely nemcsak magát a FluBotot, hanem minden olyan social engineering vektort is képes felismerni, amelyet rosszindulatú szoftverek telepítésére terveztek. A biztonsági alkalmazásnak képesnek kell lennie arra, hogy csírájában fojtsa el a problémát, ekképpen proaktív védelmet nyújtva az eszközöknek.