【安全资讯】FluBot银行木马通过垃圾短信在瑞士传播

猎影实验室 2021-06-22 07:20:43 1405人浏览

2021 年 6 月 18 日,研究人员发现了FluBot 4.6 版本,该版本已经传入瑞士,正积极地通过垃圾短信传播。FluBot是一个流行的银行木马家族,也被称为Cabasous、FakeChat,于2020年12月首次被发现。在最初的几个月里,FluBot活跃在西班牙、匈牙利和波兰等地,目前已经传入几乎所有欧洲国家。FluBot 的短信通常是从其他受感染的手机发送的,目前,FluBot使用语音邮件作为诱饵在瑞士传播。


FluBot 使用 smishing(短信和网络钓鱼的组合)进行分发,向受害者发送一条包含指向分发 APK 的 URL 链接的短信。安装并启动后,FluBot 会请求无障碍服务权限,如下图所示:



FluBot一旦获得无障碍服务权限,就可以控制用户的移动设备,获取读取通讯录信息、阅读或阻止通知的权限。无障碍服务还用于防止用户卸载恶意软件。用户必须启动到“安全模式”才能卸载软件。Flubot还会监控设备使用情况,例如,如果目标应用程序启动,则启动覆盖,接管屏幕并诱使用户输入凭据或其他敏感信息。


FluBot 会将地址簿上传到C2服务器,然后询问短信速率,它会以该速率发送短信 URL 以进一步感染其他手机。这是一种类似蠕虫的行为。典型的 SMS 速率在 10 到 30 秒之间。按照这个速度,FluBot 会联系它的 c2 服务器来接收 SMS 任务。


FluBot主要功能如下:

  • 1.读取/阻止通知
  • 2.读取/阻止/发送短信
  • 3.窃取联系人列表
  • 4.执行呼叫
  • 5.socks代理(可以被欺诈者用来访问互联网)
  • 6.覆盖凭证/网络钓鱼


覆盖攻击的目标应用程序因国家/地区而异,并且也可能随时间而变化。目前,覆盖攻击的目标如下:

    • · Biance (Bitcoin), com.binance.dev
    • · Coinbase, com.coinbase.android
    • · Blockchain.com Wallet, piuk.blockchain.android
    • · Gmail, com.google.android.gm 
失陷指标(IOC)4
FluBot 银行木马 瑞士 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。