【安全资讯】针对芬兰Android用户的FluBot攻击活动

引言

芬兰国家网络安全中心 (NCSC-FI) 发布警告称，FluBot银行恶意软件正通过短信传播，针对的目标是芬兰Android用户。这是芬兰今年第二次成为大规模FluBot攻击活动的目标，此前，在2021年6月初至8月中旬，攻击者每天向数千个芬兰公民发送垃圾短信。

简况

FluBot又名Fedex Banker和Cabassous，自 2020 年末开始活跃，用于窃取受感染设备的银行凭证、支付信息、短信和联系人。最初，FluBot主要针对来自西班牙的 Android 用户。然而最近几个月，恶意软件已经扩展到其他欧洲国家（德国、波兰、匈牙利、英国、瑞士）以及澳大利亚和日本。

垃圾邮件活动以移动运营商的语音邮件为主题，诱导Android用户在设备上下载一个APK安装程序，从而部署Flubot银行恶意软件。非Android用户则会被重定向到其他欺诈性页面。 DHL主题的Flubot 消息如下图：

FluBot部署在新设备上后，会试图诱导受害者授予额外的权限，以及对 Android 辅助功能服务的访问权限，使其能够在后台隐藏并执行恶意任务。恶意软件随后接管受感染的设备，通过覆盖在合法移动银行和加密货币应用程序界面上的 webview 网络钓鱼页面访问受害者的支付和银行信息。

Flubot 还会将受害者的地址簿发送到C2服务器、读取 SMS 消息、拨打电话并监控应用程序活动的系统通知。目前，攻击者已在 24 小时内发送了大约 70,000 条消息。如果当前的活动与夏季一样激进，NCSC-FI预计未来几天的消息数量将增加到数十万条。目前已经有数十起设备被感染。

建议

建议感染了 Flubot 恶意软件的设备采取以下措施：

• 在设备上执行恢复出厂设置。如果从备份恢复设置，请确保从安装恶意软件之前创建的备份恢复。
• 如果在受感染的设备上使用了银行应用程序，请立即联系银行。
• 向警方报告经济损失。
• 重置设备上使用的服务的密码。
• 联系运营商，因为订阅可能已被用于发送需要收费的短信。