Yaygın olarak dağıtılan FluBot kötü amaçlı yazılımı, kötü amaçlı yazılımı Flash Player olarak dağıtan yeni kampanyalar ve geliştiricilerin yeni özellikler eklemesiyle gelişmeye devam ediyor.
FluBot, dünya çapında birçok bankaya karşı bindirmeli giriş formları görüntüleyerek kimlik bilgilerini çalan bir Android bankacılık truva atıdır.
Dağıtımı için smishing (SMS phishing) cazibesi şunları içerir: sahte güvenlik güncellemeleri, sahte Adobe Flash Oynatıcılar, sesli mesaj notları, ve paket teslimat bildirimlerinin kimliğine bürünme.
FluBot, cihaza girdikten sonra çevrimiçi bankacılık kimlik bilgilerini çalabilir, SMS mesajları (ve tek kullanımlık şifreler) gönderebilir veya bunlara müdahale edebilir ve ekran görüntüleri yakalayabilir.
Kötü amaçlı yazılım, kurbanın cihazını tüm bağlantılarına yeni smishing mesajları göndermek için kullandığından, genellikle orman yangını gibi yayılır.
Flash Player’ın kimliğine bürünme
MalwareHunterTeam, BleepingComputer’a yeni FluBot kampanyalarının alıcıya cihazından bir video yüklemeyi isteyip istemediklerini soran SMS metinleri kullanılarak dağıtıldığını söyledi.
Bu kampanyanın Polonyalı alıcıları hedefleyen SMS metnine bir örnek: CSIRT KNF tarafından paylaşıldı, aşağıda görüldüğü gibi.
Alıcılar dahil edilen bağlantıya tıkladıklarında, sahte bir Flash Player APK’sı sunan bir sayfaya yönlendirilirler. [VirusTotal] FluBot kötü amaçlı yazılımını Android cihazına yükler.
Android kullanıcıları, kendilerini kötü amaçlı yazılımlardan korumak için uzak sitelerde barındırılan APK’lardan uygulama yüklemekten her zaman kaçınmalıdır. Bu uygulama özellikle, uygulamalarının yalnızca güvenilir konumlardan yüklenmesi gereken Adobe gibi tanınmış markalar için geçerlidir.
Son FluBot sürümlerinde yeni özellikler
En son ana sürüm, Aralık 2021’in başlarında çıkan sürüm 5.0 iken, sürüm 5.2 yalnızca birkaç gün önce ışığı gördü.
Bu sürümle birlikte, DGA (etki alanı oluşturma algoritması) sistemi, aktörlerin engellenmeden çalışmasını sağlamak açısından hayati önem taşıdığından, kötü amaçlı yazılım yazarlarından büyük ilgi gördü.
DGA, anında birçok yeni C2 etki alanı oluşturarak DNS engelleme listeleri gibi azaltma önlemlerini etkisiz hale getirir.
En yeni sürümünde, FluBot’un DGA’sı daha önce kullanılan üç yerine 30 üst düzey alan kullanır ve ayrıca saldırganların tohumu uzaktan değiştirmelerini sağlayan bir komut içerir.
İletişim tarafında, yeni FluBot artık HTTPS üzerinden DNS tünelleme yoluyla C2’ye bağlanırken, daha önce doğrudan HTTPS bağlantı noktası 443’ü kullanıyordu.
5.0, 5.1 ve 5.2 sürümlerinde kötü amaçlı yazılıma eklenen komutlar şunlardır:
- DNS çözümleyicilerini güncelleyin
- DGA tohumunu uzaktan güncelleyin
- Çok parçalı bölme işlevlerini kullanarak daha uzun SMS mesajları gönderin
Yukarıdakilerin yanı sıra, FluBot’un en son sürümü şunları yapma kabiliyetine sahiptir:
- URL’leri istek üzerine aç
- Kurbanın kişi listesini alın
- Mevcut uygulamaları kaldırın
- Android Pil Optimizasyonunu Devre Dışı Bırak
- Ekran kapma ve tuş kaydetme için Android Erişilebilirlik Hizmetini kötüye kullanma
- Talep üzerine arama yapın
- Play Protect’i devre dışı bırak
- OTP’leri çalmak için yeni SMS mesajlarını durdurun ve gizleyin
- Kurban bilgilerini içeren SMS’i C2’ye yükleyin
- İlgili bindirme enjeksiyonlarını yüklemek için uygulamaların listesini alın
Özetle, FluBot önceki sürümlerde kullanılan hiçbir komutu kullanımdan kaldırmadı ve yeteneklerini yalnızca yenileriyle zenginleştirdi.
FluBot’un en son sürümünün tam olarak nasıl çalıştığına dair daha fazla teknik ayrıntı için şuraya göz atın: F5 Laboratuvarları raporu.
FluBot’tan nasıl korunulur
Çoğu durumda FluBot’u indirmek için bir bağlantının cihazınıza kişilerinizden biri, hatta belki bir arkadaşınız veya aileniz aracılığıyla ulaşacağını unutmayın.
Bu nedenle, bir URL içeren ve sizi tıklamaya teşvik eden olağandışı bir SMS alırsanız, bu muhtemelen FluBot tarafından oluşturulmuş bir mesajdır.
Son olarak, olağandışı kaynaklardan APK dosyalarını yüklemekten kaçının, Android cihazınızda Google Play Protect’in etkin olup olmadığını düzenli olarak kontrol edin ve saygın bir satıcının mobil güvenlik çözümünü kullanın.