.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
2021年10月至11月:Flubot4.9版出現了“Android安全更新”活動和新的重大協議更改在10月和11月的大部分時間裡,Flubot的攻擊者們沒有修改惡意軟件的版本號。
在10月初,研究人員看到了一個不同於之前DHL/Correos/Fedex或者“語音郵箱”的活動。這一次,攻擊者們開始將Flubot作為一個假冒的Android安全更新。
似乎這個新的傳播活動沒有按預期工作,因為幾天后攻擊者們繼續使用“語音郵件”傳播活動。
安靜了一段時間以後,直到11月下旬,新樣本又重新出現了,對用於與C2服務器通信的協議進行了重大更改。現在,攻擊者們不再隨意增加版本號了,即使有像這樣的重大變化。
此協議更改允許惡意軟件與C2服務器進行通信,而無需與它們建立直接連接。 Flubot使用TXTDNS請求到常見的公共DNS服務器(Google、CloudFlare和AliDNS)。然後,這些請求被轉發到實際的C2服務器(實現DNS服務器)以從服務器獲取TXT記錄響應並將其轉發給惡意軟件。從受感染設備中竊取的信息是使用RC4加密發送的(與以前的協議版本中使用的方式非常相似)並對加密字節進行編碼。這樣,編碼的有效載荷被用作DGA生成域的子域。來自C2服務器的響應也被加密和編碼為對TXT請求的TXT記錄響應,它包括執行傳播活動的smishing任務或用於竊取憑據的Web注入的命令。
通過這個新協議,Flubot使用來自谷歌和CloudFlare等知名公司的DoH服務器與C2服務器建立某種隧道。使用這種技術,通過網絡流量監控檢測惡意軟件非常困難,因為惡意軟件沒有直接與未知或惡意服務器建立連接。此外,由於它使用的是DoH,所有的DNS請求都是加密的,因此網絡流量監控無法識別那些惡意的DNS請求。
C2服務器協議中的這一重大變化也可以解釋前幾個月的低活躍度。可能開發人員正在努力改進協議以及惡意軟件和C2服務器後端代碼。
2021年12月:Flubot5.0-5.1版中出現了“FlashPlayer”活動和DGA更改最終,攻擊者們在12月決定將版本號提高到5.0。這個新版本帶來了一個小而有趣的變化:除了web注入HTML和JavaScript代碼之外,Flubot現在還可以接收url。在5.0版本之前,C2服務器會發送web注入代碼,當受害者打開目標應用程序以竊取憑證時,這些代碼被保存在設備上以備將來使用。從5.0版本開始,C2服務器轉而發送URL,所以Flubot的惡意軟件必須訪問URL並將HTML和JavaScript源代碼保存在內存中以備將來使用。
直到12月底,攻擊者們才發布了Flubot5.1。12月31日,研究人員首次發現了Flubot5.1的樣本。接著在1月2日,Flubot5.2的樣本就出來了。 5.1版對DGA進行了一些重要更改。這一次,攻擊者引入了大量TLD來生成新域,同時還引入了一個用於從C2服務器接收新的DGA種子的新命令——UPDATE_ALT_SEED。根據研究人員的研究,這個新命令從未被使用過,因為所有新感染的設備都必須使用硬編碼種子生成的域連接到C2服務器。
除了去年12月的新變化和新功能,攻擊者們還推出了一個新的活動:“FlashPlayer”。該活動與“語音郵箱”活動一起使用,後者仍然是最常用於傳播Flubot的活動。在這次新活動中,受感染設備向受害者發送了一條短信,試圖誘使他們安裝一個“FlashPlayer”應用程序,以便觀看受害者出現的虛假視頻。下圖顯示了傳播網站是多麼簡單,當受害者打開鏈接時顯示。
2022年1月:Flubot5.2-5.4版本改進Smishing功能和新的“直接回复”功能在2022年1月初,研究人員檢測到了新版Flubot的新樣本。這一次,5.2版引入了一些細微的變化,其中攻擊者增加了對smishing任務的更長文本消息的支持。他們不再使用通常的Android的“sendTextMessage”功能,而是開始使用“sendMultipartTextMessage”和“divideMessage”。這允許他們使用較長的消息,並將其拆分為多個消息。
在發現5.2版本的新樣本幾天后,又檢測到了5.3版本的樣本。不過開發者卻沒有引入新功能,而是刪除了一些未使用的舊代碼。這個版本似乎是用來清理代碼的版本。此外,在Flubot5.3的第一個樣本出現三天后,就檢測到該版本的新樣本,並增加了新的國家:日本、香港、韓國、新加坡和泰國。
到1月底,攻擊者又發布了新版本:Flubot5.4。這個新版本引入了一個有趣的新功能:直接回复。該惡意軟件現在能夠攔截受感染設備中收到的通知,並使用從C2服務器接收到的配置消息自動回复它們。
為了獲取將用於回复通知的消息,Flubot5.4引入了一個新的請求命令“GET_NOTIF_MSG”。如下圖所示,此請求命令用於獲取消息,以便在接收到新通知時最終使用該消息。
儘管這是一個提高殭屍網絡傳播能力的有趣的新功能,但它並沒有持續太久。它在以下版本中被刪除。
就在同一個月,研究人員檢測到另一個Android銀行惡意軟件Medusa,它分佈在Flubot的一些smishing任務中。這意味著,Flubot殭屍網絡又一次被用作傳播殭屍網絡來傳播另一個惡意軟件家族。 2021年8月,它被用於傳播Teabot。現在,它已被用於傳播Medusa。
如果把這些現象聯繫起來,就可以解釋為什麼會有新的“直接回复”功能和“多部分消息”的使用。由於Medusa的攻擊者們提出了使用Flubot殭屍網絡作為傳播服務的建議,這些改進可能已經引入Flubot的新功能中了。
2022年2月至4月:Flubot5.5版中新增竊取cookie功能從1月下旬(研究人員第一次在野外觀察到5.4版)到2月下旬,將近一個月過去了,新版本才發布。研究人員認為這種情況的發生與之前的時間段相似,例如2021年8月至11月,當時攻擊者們就是在這個時間段對協議進行了重大更改。這一次,攻擊者們似乎正在悄悄地開發新的Flubot5.5,它帶有一個非常有趣的功能:Cookie竊取。
通過查看新代碼,研究人員首先意識到在請求目標應用列表時發生了一點變化。此請求必須包含受感染設備中已安裝應用程序的列表。因此,C2服務器將提供目標應用程序的子集。在這個新版本中,當執行“GET_INJECTS_LIST”請求時,“.new”被附加到已安裝應用程序的包名稱中。
一開始,當使用附加到數據包名的“.new”時,C2服務器使用URL進行響應,以獲取用於竊取憑據的Web注入。
過了一段時間,C2服務器開始回复銀行和加密貨幣平台的官方URL,這看起來很奇怪。在分析了代碼之後,研究人員發現他們還引入了代碼來竊取用於顯示web注入的WebView的cookie——在本案例中,目標實體的網站。網站不同UI元素的點擊和文本更改也會被記錄並發送到C2服務器,所以攻擊者不僅竊取cookie,他們還可以通過“鍵盤記錄”竊取憑證。
竊取cookie的代碼可以接收到一個URL,就像它可以接收到一個URL來獲取web注入一樣,但這次訪問的URL並沒有接收到web注入。相反,它接收一個新的URL(官方銀行或服務URL)來加載和竊取憑據。在下圖中,顯示了來自用於下載Web注入的受感染網站的響應。在本示例中,它被用來獲取用於竊取GMailcookie的有效負載(當受害者試圖打開Android電子郵件應用程序時顯示)。
當受害者登錄到合法網站後,Flubot將接收並處理網站加載結束的事件。此時,它獲取cookie並將它們發送到C2服務器,如下圖所示。
2022年5月:Flubot版本5.6出現,會是Flubot的最後一個版本嗎?果然沒過一個月,Flubot的新版本在5月初問世,即Flubot5.6。這是最後一個已知的Flubot版本。
這個新版本增加了一個有趣的新功能:彩信發送任務。借助這項新功能,攻擊者可以繞過運營商檢測。許多用戶被感染後,他們的設備在他們不知情的情況下發送短信。
為了增加這個新功能,攻擊者們添加了新的請求命令:
–GET_MMS:用於獲取電話號碼和要發送的短信(類似於之前用於發送短信的常用GET_SMS)
–MMS_RATE:用於獲取發出“GET_MMS”請求並發送消息的時間速率(類似於之前用於發送短信的通常SMS_RATE)。
這個版本在5月1日發布後,C2服務器在5月21日停止工作。他們直到5月25日才下線,但他們仍然不能正常工作,因為他們的回复都是空的。最終,在6月1日,歐洲刑警組織在他們的網站上公佈,他們在不同國家警察的合作下摧毀了Flubot的基礎設施。是荷蘭警方拆除了基礎設施。這可能是因為在2022年的某個時候,Flubot C2服務器將託管服務更改為荷蘭的託管服務,使其更容易被關閉。
這是否意味著Flubot的終結?目前還不能確定,但似乎警方沒能拿到RSA私鑰,因為他們沒有讓C2服務器發送命令來檢測並移除設備上的惡意軟件。
這意味著攻擊者只需註冊新的域名,在一個“更安全”的國家建立所有的基礎設施,並提供託管服務,就能讓Flubot回歸。由於離線時間的原因,攻擊者可以用較少的被感染設備恢復他們的殭屍網絡,但仍然有一些設備繼續發送欺騙消息來感染新的設備。這取決於攻擊者的意圖,因為警察似乎還沒有找到他們。
總結Flubot是過去幾年來最活躍的銀行惡意軟件家族之一。這可能是由於他們強大的傳播策略——詐騙。這個惡意軟件一直在使用被感染的設備向從受害者智能手機中竊取的手機號碼發送短信。但是,在這個人人都習慣於網上購物的時代,再加上虛假的包裹快遞信息,使其成為一個重要的威脅。
正如我們在這篇文章中看到的,攻擊者非常頻繁地引入了新功能,這使得Flubot更加危險和具有傳播性。這些更新和新功能的很大一部分是為了提高惡意軟件在不同國家的傳播能力,還有一些是為了提高證書和竊取信息的能力。
一些更新對協議進行了重大更改,使得通過網絡監控更難被檢測到,使用基於DoH隧道的協議,這在Android惡意軟件世界中確實不常見。在出現一年半後,攻擊者開始使用荷蘭的託管服務後,被警方關閉C2服務器。不過攻擊者仍然可以將基礎設施移回“更安全”的託管並註冊新的DGA域以恢復其殭屍網絡。現在確定Flubot終結還為時過早。