hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
6 grudnia 2021

Flubot 4.9 – szybka analiza

Michał Rosiak

Kilka dni temu ostrzegaliśmy o powrocie Flubota, groźnego złośliwego oprogramowania na urządzenia mobilne. Na początku poinformowaliśmy Was o treści SMSów, którymi przestępcy starają się nas skusić do instalacji nieautoryzowanej aplikacji. Teraz pora na nieco dokładniejszą analizę, bowiem przez ten czas przyjrzeliśmy mu się nieco bardziej dokładnie. To wersja 4.9, ze sporymi zmianami w porównaniu do analizowanej przez nas w marcu 3.2.

Zacznijmy do tego, iż pod względem sposobu dostarczenia, nowe kampanie Flubota skupiają się na rzekomych niedostarczonych/gotowych do dostarczenia paczkach. Nic dziwnego – dziś Mikołajki, lada chwila Boże Narodzenie, liczba paczek krążących po Polsce wzrosła zatem wielokrotnie. Na samym końcu tekstu znajdziecie treść kilkunastu prawdziwych SMSów z ostatnich kilku dni – to da Wam obraz, czego możecie się spodziewać i klikania w co unikać. Przestępcy podszywają się często pod prawdziwe firmy kurierskie – zarówno w treści SMSa, używając nazwy DHL, jak i w aplikacjach mobilnych, do których prowadzą linki. Czasami (ale znacznie rzadziej) zdarzają się SMSy, informujące o nieodebranej wiadomości MMS.

Jak działa nowy Flubot?

Uprzednio seed, inicjujący generator używanych domen, był tworzony z użyciem nr roku i miesiąca, na końcu dodawana była liczba, dedykowana dla każdego kraju. Tym razem liczba jest jedna, 1945. W efekcie dla wszystkich krajów (o tym później) można użyć maksymalnie 5000 domen.

Znacząco zmieniła się komunikacja, tym razem dane od ofiary do serwera Command&Control wysyłane są przy wykorzystaniu tunelowania DNS over HTTPS. Botnet używa do tego celu domen:

dns.google
cloudflare-dns.com
dns.alidns.com
dns.nextdns.io (ta domena pojawiła się we wcześniej wersji, również numerowanej 4.9)

Przyjrzymy się dokładnie przykładowemu zapytaniu:

hxxps://cloudflare-dns.com/dns-query?name=b2b55293.0.1.IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJUINDCAMJZ
GMXDCOB.ZFYYTAMBOGIYDIIABAAXH6KXP6O7V6BBHXBWRGONSLW2IZHZSK2IHXTL6KJ7L7I.LPA3SAKACZMBZCR4U7IHV6QV3JQRWUM3LS7UCXH
SMB4JCXXDFAT57Z2QHPEBV6A.G2XTLJJAF7MG4MTE5DNYVBOE.ucbcmjiesrpgrln.cn&type=TXT

  • b2b55293 To losowy token, generowany przy każdej sesji
  • 0 Ponieważ adres może mieć maksymalnie 255 znaków, zapytania dzielone są na części gdyż. 0 oznacza pierwszą część. Jeśli adres jest dłuższy, przy dalszych zapytaniach licznik ten rośnie o 1
  • 1 Ta etykieta może przyjąć wartość 0, 1 lub 2. 1 – jeśli do serwera C&C wysyłana jest ostatnia część danych; 0 – w każdym innym przypadku związanym z wysyłką; 2 – jeśli bot czeka na odpowiedź z C&C
  • IFCEKMRWG (…) YVBOE To właściwe polecenie do C&C, dzielone na części po 63 znaki (maksymalna długość subdomeny).  Zaszyfrowane są w następujący sposób:
    • generowany jest 10-znakowy klucz, szyfrowany algorytmem RSA kluczem publicznym zaszytym w kodzie aplikacji, wraz z generowanym przy instalacji tokenem UUID (innym, niż ten wymieniony na początku listy)
    • wygenerowany wcześniej 10-znakowy klucz używany jest do zaszyfrowania algorytmem RC4 polecenia do C&C
    • do zaszyfrowanego UUID z kluczem RC4 i zaszyfrowanego polecenia do C&C dołączany jest jeszcze raz ten sam UUID oraz adres IP, określany przez zapytanie do jednego z serwisów (a całość jest enkodowana przy użyciu base32):
      • ipinfo.io
      • icanhazip.com
      • api64.ipify.org
      • www.trackip.net

Następnie, by uzyskać odpowiedź, wykonywane jest jeszcze jedno zapytanie, wyglądające np. tak:

hxxps://cloudflare-dns.com/dns-query?name=b2b55293.100.2.IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJUINDA.ucbcmjiesrpgrln.cn&type=TXT

  • 91b32493 Losowy token
  • 100 Setne zapytanie do tego C&C
  • 2 Czyli klient oczekuje na odpowiedź na wysłane do C&C polecenie
  • IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJUINDA UUID generowane przy instalacji, zakodowane algorytmem BASE32

W odpowiedzi w polu TXT „Answer” zwracane są dane, zaszyfrowane przez RC4 wygenerowanym wcześniej kluczem.

W obecnej fali SMSy z Flubotem trafiają do 28 krajów z całego świata. Są to: Niemcy, Austria, Szwajcaria, Włochy, Hiszpania, Wielka Brytania, Australia, USA, Nowa Zelandia, Belgia, Holandia, Turcja, Portugalia, Rumunia, Finlandia, Bułgaria, Grecja, Dania, Szwecja, Norwegia, Czechy, Słowacja, Polska, Węgry, Serbia, Chorwacja, Bośnia i Hercegowina, oraz Malezja.

Czym jest Flubot?

Flubot to mobilne złośliwe oprogramowanie, wyspecjalizowane w kradzieży danych autoryzacyjnych do banków. Używa do tego nakładek na strony/aplikacje bankowe, sprawiając, iż ofiara, nieświadoma tego, co robi, logując się do banku, podaje tak naprawdę login i hasło przestępcom.

Dodatkowo Flubot rozsyła się przy pomocy wiadomości SMS. Po infekcji przesyła książkę telefoniczną ofiary A losowo wybranej ofierze B, by następnie z telefonu B wysłać SMSy do wszystkich z książki A. W tej sytuacji, jeśli do nas trafi pełna numerów książka ofiary z Wlk. Brytanii, Nowej Zelandii, czy Malezji – rachunek telefoniczny może zaboleć wyjątkowo mocno.

Jak wyglądają SMSy z Flubotem?

Poniżej kilkanaście najświeższych przykładów:

Nowa paczka :js: zostala * wyslana, prosze sledzic ja na naszej stronie ; internetowej::2e: hxxps://eurobatideco.com/ad/?j1gb&zg0

Znalezlismy dla Ciebie paczke z * sierpnia. Potwierdz dostawe tutaj: :cs: hxxp://monochmo.jp/5/?oowsn6.nej3

Twoja paczka moze byc opozniona, potwierdz dostawe tutaj:””d”” / hxxp://kleingarten-haberlandstrasse.de/7/?im2nr&ba

Nie udalo nam sie dostarczyc / Twojej przesylki. Opcje: hxxp://ffmagazine.mobiteam.de/1/?ik4grq&3 Podjelismy probe dostarczenia Twojej paczki, sprawdz jej @ status tutaj: hxxp://tintucvungtau.com/6/?tlas&3ysj

Mamy * dla Ciebie paczke, zaplanuj @ dostawe: * hxxp://tintucvungtau.com/6/?jr1.0wzh77h Dostawa wkrotce_99p_ nadejdzie, / sledzenie: hxxps://mexlux.com.mx/6/?2p45nqoi.tk

Twoja przesylka zostanie dostarczona do Ciebie za #w# okolo 3 :x: godziny: hxxps://gaptechsolutions.com/4/?hn54i16s9&1

Dzisiaj dotrze do Ciebie / Twoja paczka * z Amazonu. * Wiecej informacji pod adresem hxxp://promocaonainternet.com.br/5/?br8u3.qhf1

Dobra :9: wiadomosc! Twoja paczka jest na pokladzie do dostarczenia: hxxps://www.heritageprints.com.ng/6/?ymj94p.9ko

Twoja paczka ; DHL jest w drodze! Kliknij hxxp://sdjk365.com/2/?xewj1wa&c, aby sledzic

Twoja paczka zostala :7b: wyslana, sledzenie na zywo: hxxps://www.hzgalaxytech.com/0/?7y2ddgc&zs

Twoja paczka jest w drodze, kliknij ponizszy link, aby sledzic: hxxps://haiyo.cc/z/?arn0qv55&f

Nowa paczka zostala wyslana, prosze sledzic * ja na naszej stronie internetowej: hxxps://naszsmartclub.pl/8/?5hi03ol&e6

Paczka [009232513] zostala zatrzymana w centrum dystrybucji. Sledz swoja / przesylke tutaj: hxxp://mashiqeen.com/dr/?kh43.6obk

Nie udalo nam sie dostarczyc @ Twojej przesylki. Opcje: hxxps://www.milagrosouthwest.com/0/?ys55aknb.sb Wystapil problem / z dostawa: hxxp://www.pioneeravsolutions.com/2/?7p&lr7mx

Twoje zamowienie / zostanie dostarczone * jutro: / „”18″” hxxps://www.atlantainformer.com/3/?66v6.bbg”

Podjelismy probe dostarczenia Twojej paczki, sprawdz jej status tutaj: hxxps://yesnews.in/0/?4&9snxic9

DHL: Twoje zamowienie zostanie wkrotce dostarczone. hxxp://www.runforcause.org/2/?uum94f&apg

Twoja przesylka * * zostanie wkrotce dostarczona, sledz @ swoja przesylke pod adresem hxxp://onewed.cn/1/?njl.v6yk

Twoja dostawa jest w toku, potwierdz dostawe tutaj: hxxp://transferhub.com.ng/9/?w5zi.p42 _9d1_

Nie bylismy w stanie ; dostarczyc dzisiaj paczki. Prosze odwiedzic „x” strone: hxxps://70e097.ctlin.ml/0/?52n&jzwt

Twoja @ przesylka jest w drodze, sledz ja: hxxps://snarkynations.com/4/?yv5.rhuekr7

Twoje zamowienie # @ 276513 dotrze wkrotce. Sledz @ postepy: * hxxp://www.servicediving.ir/3/?gr6e.j5bi

Wyslano. Twoja paczka @ zostanie wkrotce dostarczona, link do sledzenia: hxxp://www.myleneserne.nl/3/?g6pue&1z

Masz (1) zalegla paczke! Ref: DHL-6461W Ostatnia szansa, aby odebrac > hxxp://www.myleneserne.nl/3/?mcet923j.t

Twoja przesylka jest _z_ w drodze, sledz / ja: hxxp://meidian.wang/6/?s42ljv.2kkg

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

25 lipca 2025
Chcą ukraść hasło do Facebooka, podsyłają „ofertę pracy”
Dowiedz się więcej
15 lipca 2025
W wakacje wypoczywaj (cyber)bezpiecznie
Dowiedz się więcej
9 lipca 2025
Użytkownicy Steam na celowniku – atak Browser-in-the-Browser
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance