Kilka dni temu ostrzegaliśmy o powrocie Flubota, groźnego złośliwego oprogramowania na urządzenia mobilne. Na początku poinformowaliśmy Was o treści SMSów, którymi przestępcy starają się nas skusić do instalacji nieautoryzowanej aplikacji. Teraz pora na nieco dokładniejszą analizę, bowiem przez ten czas przyjrzeliśmy mu się nieco bardziej dokładnie. To wersja 4.9, ze sporymi zmianami w porównaniu do analizowanej przez nas w marcu 3.2.
Zacznijmy do tego, iż pod względem sposobu dostarczenia, nowe kampanie Flubota skupiają się na rzekomych niedostarczonych/gotowych do dostarczenia paczkach. Nic dziwnego - dziś Mikołajki, lada chwila Boże Narodzenie, liczba paczek krążących po Polsce wzrosła zatem wielokrotnie. Na samym końcu tekstu znajdziecie treść kilkunastu prawdziwych SMSów z ostatnich kilku dni - to da Wam obraz, czego możecie się spodziewać i klikania w co unikać. Przestępcy podszywają się często pod prawdziwe firmy kurierskie - zarówno w treści SMSa, używając nazwy DHL, jak i w aplikacjach mobilnych, do których prowadzą linki. Czasami (ale znacznie rzadziej) zdarzają się SMSy, informujące o nieodebranej wiadomości MMS.
Uprzednio seed, inicjujący generator używanych domen, był tworzony z użyciem nr roku i miesiąca, na końcu dodawana była liczba, dedykowana dla każdego kraju. Tym razem liczba jest jedna, 1945. W efekcie dla wszystkich krajów (o tym później) można użyć maksymalnie 5000 domen.
Znacząco zmieniła się komunikacja, tym razem dane od ofiary do serwera Command&Control wysyłane są przy wykorzystaniu tunelowania DNS over HTTPS. Botnet używa do tego celu domen:
dns.google
cloudflare-dns.com
dns.alidns.com
dns.nextdns.io (ta domena pojawiła się we wcześniej wersji, również numerowanej 4.9)
Przyjrzymy się dokładnie przykładowemu zapytaniu:
hxxps://cloudflare-dns.com/dns-query?name=b2b55293.0.1.IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJUINDCAMJZ
GMXDCOB.ZFYYTAMBOGIYDIIABAAXH6KXP6O7V6BBHXBWRGONSLW2IZHZSK2IHXTL6KJ7L7I.LPA3SAKACZMBZCR4U7IHV6QV3JQRWUM3LS7UCXH
SMB4JCXXDFAT57Z2QHPEBV6A.G2XTLJJAF7MG4MTE5DNYVBOE.ucbcmjiesrpgrln.cn&type=TXT
Następnie, by uzyskać odpowiedź, wykonywane jest jeszcze jedno zapytanie, wyglądające np. tak:
hxxps://cloudflare-dns.com/dns-query?name=b2b55293.100.2.IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJUINDA.ucbcmjiesrpgrln.cn&type=TXT
W odpowiedzi w polu TXT „Answer” zwracane są dane, zaszyfrowane przez RC4 wygenerowanym wcześniej kluczem.
W obecnej fali SMSy z Flubotem trafiają do 28 krajów z całego świata. Są to: Niemcy, Austria, Szwajcaria, Włochy, Hiszpania, Wielka Brytania, Australia, USA, Nowa Zelandia, Belgia, Holandia, Turcja, Portugalia, Rumunia, Finlandia, Bułgaria, Grecja, Dania, Szwecja, Norwegia, Czechy, Słowacja, Polska, Węgry, Serbia, Chorwacja, Bośnia i Hercegowina, oraz Malezja.
Flubot to mobilne złośliwe oprogramowanie, wyspecjalizowane w kradzieży danych autoryzacyjnych do banków. Używa do tego nakładek na strony/aplikacje bankowe, sprawiając, iż ofiara, nieświadoma tego, co robi, logując się do banku, podaje tak naprawdę login i hasło przestępcom.
Dodatkowo Flubot rozsyła się przy pomocy wiadomości SMS. Po infekcji przesyła książkę telefoniczną ofiary A losowo wybranej ofierze B, by następnie z telefonu B wysłać SMSy do wszystkich z książki A. W tej sytuacji, jeśli do nas trafi pełna numerów książka ofiary z Wlk. Brytanii, Nowej Zelandii, czy Malezji – rachunek telefoniczny może zaboleć wyjątkowo mocno.
Poniżej kilkanaście najświeższych przykładów:
Nowa paczka :js: zostala * wyslana, prosze sledzic ja na naszej stronie ; internetowej::2e: hxxps://eurobatideco.com/ad/?j1gb&zg0
Znalezlismy dla Ciebie paczke z * sierpnia. Potwierdz dostawe tutaj: :cs: hxxp://monochmo.jp/5/?oowsn6.nej3
Twoja paczka moze byc opozniona, potwierdz dostawe tutaj:""d"" / hxxp://kleingarten-haberlandstrasse.de/7/?im2nr&ba
Nie udalo nam sie dostarczyc / Twojej przesylki. Opcje: hxxp://ffmagazine.mobiteam.de/1/?ik4grq&3 Podjelismy probe dostarczenia Twojej paczki, sprawdz jej @ status tutaj: hxxp://tintucvungtau.com/6/?tlas&3ysj
Mamy * dla Ciebie paczke, zaplanuj @ dostawe: * hxxp://tintucvungtau.com/6/?jr1.0wzh77h Dostawa wkrotce_99p_ nadejdzie, / sledzenie: hxxps://mexlux.com.mx/6/?2p45nqoi.tk
Twoja przesylka zostanie dostarczona do Ciebie za #w# okolo 3 :x: godziny: hxxps://gaptechsolutions.com/4/?hn54i16s9&1
Dzisiaj dotrze do Ciebie / Twoja paczka * z Amazonu. * Wiecej informacji pod adresem hxxp://promocaonainternet.com.br/5/?br8u3.qhf1
Dobra :9: wiadomosc! Twoja paczka jest na pokladzie do dostarczenia: hxxps://www.heritageprints.com.ng/6/?ymj94p.9ko
Twoja paczka ; DHL jest w drodze! Kliknij hxxp://sdjk365.com/2/?xewj1wa&c, aby sledzic
Twoja paczka zostala :7b: wyslana, sledzenie na zywo: hxxps://www.hzgalaxytech.com/0/?7y2ddgc&zs
Twoja paczka jest w drodze, kliknij ponizszy link, aby sledzic: hxxps://haiyo.cc/z/?arn0qv55&f
Nowa paczka zostala wyslana, prosze sledzic * ja na naszej stronie internetowej: hxxps://naszsmartclub.pl/8/?5hi03ol&e6
Paczka [009232513] zostala zatrzymana w centrum dystrybucji. Sledz swoja / przesylke tutaj: hxxp://mashiqeen.com/dr/?kh43.6obk
Nie udalo nam sie dostarczyc @ Twojej przesylki. Opcje: hxxps://www.milagrosouthwest.com/0/?ys55aknb.sb Wystapil problem / z dostawa: hxxp://www.pioneeravsolutions.com/2/?7p&lr7mx
Twoje zamowienie / zostanie dostarczone * jutro: / ""18"" hxxps://www.atlantainformer.com/3/?66v6.bbg"
Podjelismy probe dostarczenia Twojej paczki, sprawdz jej status tutaj: hxxps://yesnews.in/0/?4&9snxic9
DHL: Twoje zamowienie zostanie wkrotce dostarczone. hxxp://www.runforcause.org/2/?uum94f&apg
Twoja przesylka * * zostanie wkrotce dostarczona, sledz @ swoja przesylke pod adresem hxxp://onewed.cn/1/?njl.v6yk
Twoja dostawa jest w toku, potwierdz dostawe tutaj: hxxp://transferhub.com.ng/9/?w5zi.p42 _9d1_
Nie bylismy w stanie ; dostarczyc dzisiaj paczki. Prosze odwiedzic "x" strone: hxxps://70e097.ctlin.ml/0/?52n&jzwt
Twoja @ przesylka jest w drodze, sledz ja: hxxps://snarkynations.com/4/?yv5.rhuekr7
Twoje zamowienie # @ 276513 dotrze wkrotce. Sledz @ postepy: * hxxp://www.servicediving.ir/3/?gr6e.j5bi
Wyslano. Twoja paczka @ zostanie wkrotce dostarczona, link do sledzenia: hxxp://www.myleneserne.nl/3/?g6pue&1z
Masz (1) zalegla paczke! Ref: DHL-6461W Ostatnia szansa, aby odebrac > hxxp://www.myleneserne.nl/3/?mcet923j.t
Twoja przesylka jest _z_ w drodze, sledz / ja: hxxp://meidian.wang/6/?s42ljv.2kkg
8 lutego 2023
Fałszywa faktura, w środku Nanocore2 lutego 2023
Nowe kampanie Qakbota (lista C&C)27 stycznia 2023
"Mój numer to nie spam!"Zgłoś incydent