Flubot 4.9 – szybka analiza

Kilka dni temu ostrzegaliśmy o powrocie Flubota, groźnego złośliwego oprogramowania na urządzenia mobilne. Na początku poinformowaliśmy Was o treści SMSów, którymi przestępcy starają się nas skusić do instalacji nieautoryzowanej aplikacji. Teraz pora na nieco dokładniejszą analizę, bowiem przez ten czas przyjrzeliśmy mu się nieco bardziej dokładnie. To wersja 4.9, ze sporymi zmianami w porównaniu do analizowanej przez nas w marcu 3.2.

Zacznijmy do tego, iż pod względem sposobu dostarczenia, nowe kampanie Flubota skupiają się na rzekomych niedostarczonych/gotowych do dostarczenia paczkach. Nic dziwnego – dziś Mikołajki, lada chwila Boże Narodzenie, liczba paczek krążących po Polsce wzrosła zatem wielokrotnie. Na samym końcu tekstu znajdziecie treść kilkunastu prawdziwych SMSów z ostatnich kilku dni – to da Wam obraz, czego możecie się spodziewać i klikania w co unikać. Przestępcy podszywają się często pod prawdziwe firmy kurierskie – zarówno w treści SMSa, używając nazwy DHL, jak i w aplikacjach mobilnych, do których prowadzą linki. Czasami (ale znacznie rzadziej) zdarzają się SMSy, informujące o nieodebranej wiadomości MMS.

Jak działa nowy Flubot?

Uprzednio seed, inicjujący generator używanych domen, był tworzony z użyciem nr roku i miesiąca, na końcu dodawana była liczba, dedykowana dla każdego kraju. Tym razem liczba jest jedna, 1945. W efekcie dla wszystkich krajów (o tym później) można użyć maksymalnie 5000 domen.

Znacząco zmieniła się komunikacja, tym razem dane od ofiary do serwera Command&Control wysyłane są przy wykorzystaniu tunelowania DNS over HTTPS. Botnet używa do tego celu domen:

dns.google
cloudflare-dns.com
dns.alidns.com
dns.nextdns.io (ta domena pojawiła się we wcześniej wersji, również numerowanej 4.9)

Przyjrzymy się dokładnie przykładowemu zapytaniu:

hxxps://cloudflare-dns.com/dns-query?name=b2b55293.0.1.IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJUINDCAMJZ
GMXDCOB.ZFYYTAMBOGIYDIIABAAXH6KXP6O7V6BBHXBWRGONSLW2IZHZSK2IHXTL6KJ7L7I.LPA3SAKACZMBZCR4U7IHV6QV3JQRWUM3LS7UCXH
SMB4JCXXDFAT57Z2QHPEBV6A.G2XTLJJAF7MG4MTE5DNYVBOE.ucbcmjiesrpgrln.cn&type=TXT

• b2b55293 To losowy token, generowany przy każdej sesji
• 0 Ponieważ adres może mieć maksymalnie 255 znaków, zapytania dzielone są na części gdyż. 0 oznacza pierwszą część. Jeśli adres jest dłuższy, przy dalszych zapytaniach licznik ten rośnie o 1
• 1 Ta etykieta może przyjąć wartość 0, 1 lub 2. 1 – jeśli do serwera C&C wysyłana jest ostatnia część danych; 0 – w każdym innym przypadku związanym z wysyłką; 2 – jeśli bot czeka na odpowiedź z C&C
• IFCEKMRWG (…) YVBOE To właściwe polecenie do C&C, dzielone na części po 63 znaki (maksymalna długość subdomeny).  Zaszyfrowane są w następujący sposób:
  • generowany jest 10-znakowy klucz, szyfrowany algorytmem RSA kluczem publicznym zaszytym w kodzie aplikacji, wraz z generowanym przy instalacji tokenem UUID (innym, niż ten wymieniony na początku listy)
  • wygenerowany wcześniej 10-znakowy klucz używany jest do zaszyfrowania algorytmem RC4 polecenia do C&C
  • do zaszyfrowanego UUID z kluczem RC4 i zaszyfrowanego polecenia do C&C dołączany jest jeszcze raz ten sam UUID oraz adres IP, określany przez zapytanie do jednego z serwisów (a całość jest enkodowana przy użyciu base32):
    • ipinfo.io
    • icanhazip.com
    • api64.ipify.org
    • www.trackip.net

Następnie, by uzyskać odpowiedź, wykonywane jest jeszcze jedno zapytanie, wyglądające np. tak:

hxxps://cloudflare-dns.com/dns-query?name=b2b55293.100.2.IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJUINDA.ucbcmjiesrpgrln.cn&type=TXT

• 91b32493 Losowy token
• 100 Setne zapytanie do tego C&C
• 2 Czyli klient oczekuje na odpowiedź na wysłane do C&C polecenie
• IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJUINDA UUID generowane przy instalacji, zakodowane algorytmem BASE32

W odpowiedzi w polu TXT „Answer” zwracane są dane, zaszyfrowane przez RC4 wygenerowanym wcześniej kluczem.

W obecnej fali SMSy z Flubotem trafiają do 28 krajów z całego świata. Są to: Niemcy, Austria, Szwajcaria, Włochy, Hiszpania, Wielka Brytania, Australia, USA, Nowa Zelandia, Belgia, Holandia, Turcja, Portugalia, Rumunia, Finlandia, Bułgaria, Grecja, Dania, Szwecja, Norwegia, Czechy, Słowacja, Polska, Węgry, Serbia, Chorwacja, Bośnia i Hercegowina, oraz Malezja.

Czym jest Flubot?

Flubot to mobilne złośliwe oprogramowanie, wyspecjalizowane w kradzieży danych autoryzacyjnych do banków. Używa do tego nakładek na strony/aplikacje bankowe, sprawiając, iż ofiara, nieświadoma tego, co robi, logując się do banku, podaje tak naprawdę login i hasło przestępcom.

Dodatkowo Flubot rozsyła się przy pomocy wiadomości SMS. Po infekcji przesyła książkę telefoniczną ofiary A losowo wybranej ofierze B, by następnie z telefonu B wysłać SMSy do wszystkich z książki A. W tej sytuacji, jeśli do nas trafi pełna numerów książka ofiary z Wlk. Brytanii, Nowej Zelandii, czy Malezji – rachunek telefoniczny może zaboleć wyjątkowo mocno.

Jak wyglądają SMSy z Flubotem?

Poniżej kilkanaście najświeższych przykładów:

Nowa paczka :js: zostala * wyslana, prosze sledzic ja na naszej stronie ; internetowej::2e: hxxps://eurobatideco.com/ad/?j1gb&zg0

Znalezlismy dla Ciebie paczke z * sierpnia. Potwierdz dostawe tutaj: :cs: hxxp://monochmo.jp/5/?oowsn6.nej3

Twoja paczka moze byc opozniona, potwierdz dostawe tutaj:””d”” / hxxp://kleingarten-haberlandstrasse.de/7/?im2nr&ba

Nie udalo nam sie dostarczyc / Twojej przesylki. Opcje: hxxp://ffmagazine.mobiteam.de/1/?ik4grq&3 Podjelismy probe dostarczenia Twojej paczki, sprawdz jej @ status tutaj: hxxp://tintucvungtau.com/6/?tlas&3ysj

Mamy * dla Ciebie paczke, zaplanuj @ dostawe: * hxxp://tintucvungtau.com/6/?jr1.0wzh77h Dostawa wkrotce_99p_ nadejdzie, / sledzenie: hxxps://mexlux.com.mx/6/?2p45nqoi.tk

Twoja przesylka zostanie dostarczona do Ciebie za #w# okolo 3 :x: godziny: hxxps://gaptechsolutions.com/4/?hn54i16s9&1

Dzisiaj dotrze do Ciebie / Twoja paczka * z Amazonu. * Wiecej informacji pod adresem hxxp://promocaonainternet.com.br/5/?br8u3.qhf1

Dobra :9: wiadomosc! Twoja paczka jest na pokladzie do dostarczenia: hxxps://www.heritageprints.com.ng/6/?ymj94p.9ko

Twoja paczka ; DHL jest w drodze! Kliknij hxxp://sdjk365.com/2/?xewj1wa&c, aby sledzic

Twoja paczka zostala :7b: wyslana, sledzenie na zywo: hxxps://www.hzgalaxytech.com/0/?7y2ddgc&zs

Twoja paczka jest w drodze, kliknij ponizszy link, aby sledzic: hxxps://haiyo.cc/z/?arn0qv55&f

Nowa paczka zostala wyslana, prosze sledzic * ja na naszej stronie internetowej: hxxps://naszsmartclub.pl/8/?5hi03ol&e6

Paczka [009232513] zostala zatrzymana w centrum dystrybucji. Sledz swoja / przesylke tutaj: hxxp://mashiqeen.com/dr/?kh43.6obk

Nie udalo nam sie dostarczyc @ Twojej przesylki. Opcje: hxxps://www.milagrosouthwest.com/0/?ys55aknb.sb Wystapil problem / z dostawa: hxxp://www.pioneeravsolutions.com/2/?7p&lr7mx

Twoje zamowienie / zostanie dostarczone * jutro: / „”18″” hxxps://www.atlantainformer.com/3/?66v6.bbg”

Podjelismy probe dostarczenia Twojej paczki, sprawdz jej status tutaj: hxxps://yesnews.in/0/?4&9snxic9

DHL: Twoje zamowienie zostanie wkrotce dostarczone. hxxp://www.runforcause.org/2/?uum94f&apg

Twoja przesylka * * zostanie wkrotce dostarczona, sledz @ swoja przesylke pod adresem hxxp://onewed.cn/1/?njl.v6yk

Twoja dostawa jest w toku, potwierdz dostawe tutaj: hxxp://transferhub.com.ng/9/?w5zi.p42 _9d1_

Nie bylismy w stanie ; dostarczyc dzisiaj paczki. Prosze odwiedzic „x” strone: hxxps://70e097.ctlin.ml/0/?52n&jzwt

Twoja @ przesylka jest w drodze, sledz ja: hxxps://snarkynations.com/4/?yv5.rhuekr7

Twoje zamowienie # @ 276513 dotrze wkrotce. Sledz @ postepy: * hxxp://www.servicediving.ir/3/?gr6e.j5bi

Wyslano. Twoja paczka @ zostanie wkrotce dostarczona, link do sledzenia: hxxp://www.myleneserne.nl/3/?g6pue&1z

Masz (1) zalegla paczke! Ref: DHL-6461W Ostatnia szansa, aby odebrac > hxxp://www.myleneserne.nl/3/?mcet923j.t

Twoja przesylka jest _z_ w drodze, sledz / ja: hxxp://meidian.wang/6/?s42ljv.2kkg