FluBot, trojan pozwalający ukraść dane do logowania do usług bankowych obecnie pod przykrywką aplikacji pozwalającej na obsługę wymarłej wtyczki Flash Player.

SMSy, które otrzymuje target oszustwa, mogą przypominać fałszywe powiadomienia o aktualizacjach bezpieczeństwa, wiadomości z poczty głosowej czy też powiadomienia o braku dopłaty za paczkę.

FluBot infekuje telefony

Kiedy telefon zostanie zainfekowany aplikacją, może pobierać dane do bankowości online, wysyłać i przechwytywać wiadomości SMS (kody jednorazowe), oraz przechwytywać zrzuty ekranu.

Mechanizm rozprzestrzeniania tego wirusa jest bardzo prosty. Ofiara otrzymuje zainfekowanego linka i pobiera z niego aplikację. Po otwarciu i przyznaniu w niej uprawnień pobiera listę kontaktów i wrzuca ją na serwer. Potem pobiera listę kolejnych kontaktów, na które następnie wysyła kolejne wiadomości.

SMS z FluBotem, FluBot
SMS z linkiem do pobrania wirusa.

Najnowszą odmianą FluBota jest przebranie się za aplikację umożliwiającą odtwarzanie treści Flash. Po otworzeniu linka z SMSa dostajemy informację o konieczności pobrania zainfekowanej, fałszywej aplikacji Flash Player.

FluBot
Przykładowa strona z linkiem do FluBota (źródło: CSIRT KNF)

Najnowsza wersja FluBota pozwala także na zdalną zmianę algorytmu generowania adresów, przez co może blokowanie ich za pomocą czarnych list DNS jest nieefektywne. Dodatkowo jest także w stanie wysyłać dłuższe wiadomości SMS, niż do tej pory.

Oprócz tego potrafi on także:

  • otwierać linki na życzenie,
  • przeglądać kontakty,
  • odinstalowywać aplikacje,
  • wyłączać optymalizację baterii w Androidzie,
  • wykorzystywać opcję dostępności do przechwytywania ekranu oraz wprowadzanego tekstu,
  • wykonywać połączenia na życzenie,
  • przechwytywać oraz ukrywać nowe wiadomości SMS do kradzieży haseł jednorazowych,
  • wybrać odpowiedni język wiadomości dzięki numerowi kierunkowemu,
  • pobrać listę zainstalowanych aplikacji, aby pokazać odpowiednie nakładki banków

Jak unikać FluBot’a?

Najprawdopodobniej w wielu przypadkach dostaniesz go od jednego ze swoich kontaktów, może nawet od znajomego albo członka rodziny. Ale jest też możliwość, że kompletnie nieznany tobie numer zasugeruje Ci instalację z nieznanego źródła.

Jeśli dostaniesz podobnego SMSa, zignoruj go. Możesz także ostrzec wybrane kontakty, zanim dostaną podobną wiadomość. Oraz ogólnie, unikaj instalacji aplikacji z nieznanych źródeł.