FluBot がテイクダウン:FedEx/DHL 追跡アプリを装うマルウェアを確認しよう

FluBot Android Spyware Taken Dwn in Global Law Enforcement Operation

2022/06/01 TheHackerNews — 今回の国際的な法執行活動に参加した 11カ国により、FluBot と呼ばれるモバイル・マルウェアの脅威は取り除かれた。欧州警察機構 (Europol) は「この Android マルウェアは、SMS を介して積極的に拡散され、世界中の感染したスマートフォンから、パスワードやオンライン・バンキングの詳細などの、機密情報が盗み出された」と声明で述べている。この複雑な捜査には、オーストラリア/ベルギー/フィンランド/ハンガリー/アイルランド/ルーマニア/スペイン/スウェーデン/スイス/オランダ/米国などの各当局が関与している。

Cabassous とも呼ばれる FluBot は、2020年12月に出現した後に野放し状態で、FedEx/DHL/Correos などの荷物追跡アプリケーションの皮を被り、狡猾な意図を隠し続けてきた。具体的には、スミッシング (SMS-based phishing) メッセージにより広がり、疑うことを知らない受信者を騙し、マルウェアが仕込まれたアプリのダウンロード・リンクをクリックさせてきた。

FluBot Android Spyware


そのアプリが起動すると、Android のアクセシビリティ・サービスへのアクセスが要求され、暗号通貨アプリに保存されている銀行口座の認証情報などの機密情報が、こっそりと盗み出されていた。

さらに悪いことに、この不正プログラムは、感染したデバイスに保存されている連絡先へのアクセスを悪用し、不正プログラム FluBot へのリンクを取り込んだメッセージを送信し、感染をさらに拡大させてきた。

FluBot のキャンペーンでは、主に Android 向けのマルウェアが使われてきたが、ここ数カ月で iOS ユーザーをターゲットに含むよう進化しており、感染したリンクにアクセスしようとしたユーザーが、フィッシング・サイトや偽サブスクリプションにリダイレクトされるようになっていた。

ユーロポールは、「この FluBot のインフラは、現在、法執行機関の管理下にあり、破壊的なスパイラルに歯止めが掛けられている」と指摘し、先月にオランダ警察が押収したことを付け加えている。


ThreatFabric の Mobile Threat Landscape Report for H1 2022 によると、FluBot は Hydra に続く二番手のバンキング・トロージャンであり、2022年1月〜5月に観測されたサンプルの 20.9% を占めている。同社の CEO である Han Sahin は、「ThreatFabric は、この件に関して法執行機関と密接に協力してきた。FluBot の脅威が、バックエンドからの配布と、そのホスティングに関して、パブリック DNS-over-HTTPS サービスを介した DNS トンネリングによる、最も回復力の高い戦略を持っていたことを考えると、これは素晴らしい勝利である。C2 ホスティングとフロントエンドにおけるバックエンドの回復力に対しては、オランダのデジタル犯罪ユニットが、きわめて印象深い活躍をしている」と述べている。

ThreatFabric は、FluBot の運営者が開発したユニークなマルウェア・サンプルが、テイクダウンと同時の 5月19日以降に停止し、彼らの “虫食い努力” を効果的に鈍らせたとも述べている。また、Han Sahin は、「FluBot は最強の Android バンキング・トロイの木馬とは言えない。したがって、今回の駆除がモバイル脅威の状況に与える影響は限定的である。あらゆるユーザーにとって、依然として Exobot/Anatsa/Gustuff などの脅威が残っている。FluBot の背後にある力は、常に、その感染数である」と付け加えている。

誰もが使うだろう、FedEx/DHL/Correos などの荷物追跡アプリケーションを装うとは、なかなか狡猾なバンキング・トロージャンですね。この主のマルウエアやトロイの木馬は、モバイル・デバイスを主要ターゲットにしているようです。この記事を訳していて思い出したのは、4月8日の「Google Play に粘着する SharkBot バンキング RAT は次世代型:テストが終わると蠢き出す」と、4月28日の「Google Play 2021年の奮闘記:120 万件の悪質アプリをブロックしたけど・・・」というポストです。公式のアプリ・ストアでありながら、Google Play は様々な問題を抱えているようです。それは、Apple App Store も同じだと思いますが・・・

%d bloggers like this: