.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
Flubot是一個基於Android的惡意軟件,在過去一年半中已在歐洲、亞洲和大洋洲大肆攻擊,這些被攻擊的設備大多是毫無戒心的受害者。與大多數Android銀行惡意軟件一樣,Flubot也是濫用輔助功能和服務來竊取受害者的憑據,當受害者在檢測官方銀行應用程序時,攻擊者會提供一個虛假的網絡注入,比如一個類似於銀行登錄表單的網絡釣魚網站應用。 Flubot之所以大肆肆虐的一個重要原因是由於分佈其活動中使用的策略,因為它一直在使用受感染的設備發送短信,引誘新的受害者從虛假網站安裝惡意軟件。
在本文中,我們詳細介紹了它的演變發展史,包括新功能和傳播活動。
Flubot作為當今最流行的活躍Android銀行惡意軟件家族之一。 Flubot銀行惡意軟件家族至少從2020年末到2022年第一季度期間就開始傳播。它的流行來自於它的傳播方法:smishing。攻擊者一直在使用受感染的設備向其他電話號碼發送短信,在從其他受感染的設備中竊取並存儲在命令和控制服務器(C2)中。
在最初的活動中,攻擊者使用虛假的Fedex、DHL和Correos(一家當地的西班牙包裹運輸公司)發送短信。這些短信是虛假通知,誘使用戶進入虛假網站,以下載移動應用程序來跟踪運輸。這些活動很容易得手,因為現在大多數人習慣於在線購買不同類型的產品並接收此類消息以跟踪產品的運輸。
Flubot不僅是一個非常活躍的家族,其幕後的開發者也一直非常積極的在更新其新功能。
2022年6月1日,歐洲刑警組織宣佈在包括11個國家的聯合行動中取締Flubot。荷蘭警方在這次行動中發揮了關鍵作用,並於2022年5月成功摧毀了基礎設施,使這種惡意軟件變得不活躍。
初始版本:Flubot0.1-3.3版本一開始便針對西班牙發起攻擊,並迅速成為一種新型Android惡意軟件Flubot樣本於2020年11月-12月間首次在野外被發現。有關此惡意軟件的公開信息於2021年1月6日由ThreatFabric首次傳播。儘管ThreatFabric是第一個傳播關於這個新家族的公共信息並將其稱為“Cabassous”的人,但研究界更願意將這種惡意軟件稱為Flubot。
在最初的活動中,Flubot是使用Fedex和Correos虛假短信傳播的。在這些消息中,用戶被重定向到一個虛假網站,該網站會偽裝成一個“登陸頁面”,用於下載本應是一個Android應用程序來跟踪運輸。
在使用Flubot3.4之前的最初活動版本中,攻擊者使用每個國家的特定樣本支持其他國家的新活動。不同國家的樣本不同的原因是:
——域生成算法(DGA)。它使用不同的種子每月生成5000個不同的域。比如德國使用1945作為DGA的種子。
——用於從受感染的設備發送更多的傳播詐騙短信的電話國家代碼,並屏蔽這些號碼,以避免受害者之間的通信。
初始版本(從0.1到3.3)中沒有功能相關的重大變化。它主要專注於傳播活動,試圖感染盡可能多的設備。
在最初的版本中有一個重要的更改,但是很難找到首次引入此更改的確切版本,因為在公共存儲庫中有些版本沒有示例。攻擊者們引入了網絡注入來竊取證書,這是Android設備上最流行的竊取證書的策略。該功能於2020年12月在0.1到0.5版本之間被引入。
在那些最初的版本中,開發者們在短短幾天內就增加了惡意軟件的版本號,而沒有做出重大改變。大多數樣本,尤其是2.1版本之前的樣本,都沒有上傳到公共惡意軟件庫,這使得追踪Flubot的第一個版本變得更加困難。
在這些初始版本(0.5之後)中,攻擊者還引入了其他不太流行的功能,例如用於撥打特殊號碼來賺錢的“USSD”(“RUN_USSD”命令),它是在版本1.2和1.7之間的某個時間點引入的。事實上,Flubot的攻擊者似乎並未真正使用此功能。最常用的功能是用於竊取銀行和加密貨幣平台憑據的Web注入以及發送SMS功能以傳播和感染新設備。
從2.1到2.8,研究人員觀察到攻擊者開始對Flubot的實際負載使用不同的打包程序。它可以解釋為什麼我們無法在2.1和2.8之間的公共存儲庫中找到樣本,可能有一些“內部”版本。
用於嘗試不同的打包程序或使其與新打包程序一起使用。
2021年3月:Flubot版本3.4-3.7新增了針對新的國家的攻擊和傳播活動的功能在幾個月的時間裡,研究人員專注於Flubot的傳播活動忽略了惡意軟件本身的新功能,在3.4版本中,攻擊者對DGA代碼進行了一些修改。在這個版本中,他們將生成域的數量從每月5000個減少到2500個。乍一看,這似乎是一個不起眼的改變,但因個改變,攻擊者可以以更容易的方式在不同的國家傳播Flubot,因為每個國家都使用了具有不同參數的不同樣本。
事實上,我們可以在2021年3月18日看到針對德國受害者定制的新版本(3.6)。僅僅五天后,又傳播了另一個版本(3.7),其中有一些有趣的變化。攻擊者們試圖在西班牙和德國的廣告家族中使用相同的樣本,包括用換行符分隔的西班牙和德國電話國家代碼以阻止受感染設備發送短信的電話號碼。
與此同時,攻擊者們推出了一項針對匈牙利的新活動。到3月底,開發者們在3.7版中引入了一項新變化:這是出現在DGA中的一個重要變化,因為他們將“.com”頂級域名替換為“.su”。這一變化對於跟踪Flubot很重要,因為現在攻擊者可以使用這個新的TLD來註冊新的C2的域。
2021年4月:Flubot版本3.9-4.0中出現了DoH和一些獨特的樣本自3月下旬以來,攻擊者們似乎一直在開發新版本:Flubot3.9。在這個新版本中,他們引入了DNS-over-HTTPs(DoH)。此新功能用於解析DGA生成的域名。這樣,檢測網絡中受感染的設備變得更加困難,因為安全解決方案無法檢查到。
正在解析哪些域。
在下圖中,我們展示了這個新版本的反編譯代碼,包括新的DoH代碼。攻擊者們保留了舊的經典DNS解析代碼。攻擊者引入了代碼來隨機選擇是否應該使用DoH或經典DNS。
DoH的引入並不是Flubot3.9新增的唯一功能。攻擊者們也添加了一些UI信息,以準備未來針對意大利的活動。
幾天后,這些消息在新的Flubot4.0版本中使用,其中攻擊者開始為所有活動使用一個樣本,不再針對不同國家/地區的唯一樣本。
在這個新版本中,在之前版本的Flubot中使用的目標國家參數是根據受害者的設備語言選擇的。這樣,如果設備語言是西班牙語,那麼使用西班牙語參數。選擇以下參數:
——DGA種子;
——用於smishing和電話號碼封鎖的電話國家代碼;
2021年5月:Flubot4.1-4.3版本對基礎設施和C2服務器進行了改進2021年5月,4.0版的惡意軟件中出現了一個新的更新,一個用於解析DGA域的DoH服務器的更改。現在他們不再使用CloudFlare的服務器,而是開始使用谷歌的服務器。這是使用新版本Flubot4.1的第一步。
在這個新版本中,攻擊者再次更改了用於解析C2域的DoH服務器。在這種情況下,他們引入了三種不同的服務或DNS服務器:Google、CloudFlare和AliDNS。最後一個是在Flubot生命週期中第一次用於解析DGA域。
隨機選擇這三個不同的DoH服務或服務器來解析生成的域,最終向任何活動的C2服務器發出請求。
這些變化還在比利時引發了一場新的活動,攻擊者使用虛假的BPost應用程序和smishing消息來引誘新的受害者。一周後,土耳其也出現了類似的活動,這次是一個新的Flubot版本,與C2協議相關的重要變化。
Flubot4.2的第一個樣本出現在2021年5月17日,其中對用於與C2服務器通信的代碼進行了一些重要更改。在這個版本中,惡意軟件使用C2中的新路徑“p.php”發送HTTP請求,而不是經典的“poll.php”路徑。
乍一看,這似乎是一個微小的變化,但仔細觀察代碼,我們意識到這一變化背後有一個重要原因:攻擊者更改了用於與C2服務器通信的協議的加密方法。
以前版本的Flubot使用簡單的XOR加密來加密與C2服務器交換的信息,但這個新版本4.2使用RC4加密來加密該信息,而不是經典的XOR。這樣,C2服務器仍然同時支持舊版本和新版本:
poll.php和poll2.php用於使用舊的XOR加密發送/接收請求;
p.php用於使用新的RC4加密發送和接收請求;
除了4.2版的新協議加密之外,攻擊者在5月底還增加了對羅馬尼亞新活動的支持。
最後,在2021年5月28日,發現了Flubot4.3的新樣本,並進行了微小的更改,主要集中在惡意軟件實現的字符串混淆上。
2021年6月:Flubot4.4-4.6版本新出現了語音信箱,並出現在新的國家在發現Flubot4.3的第一個樣本幾天后(2021年5月31日和2021年6月1日),研究人員觀察到了Flubot的新樣本即版本號增加到4.4。
不過這個新版本沒有太大的變化。攻擊者們只是增加了對葡萄牙活動的支持。正如我們在4.3和4.4版本中看到的那樣,Flubot的攻擊者們經常會在短短幾天內通過細微的更改,這樣就可以提高版本號了。有些版本甚至沒有在公共存儲庫中找到(例如3.3版),這表明有些版本從未公開使用過,或者只是跳過了。也許那些“從未被使用的版本”在傳播服務器中只持續了幾個小時,並迅速更新以修復漏洞。
在6月份,攻擊者們幾乎沒有對功能進行任何更改,而是在致力於新的傳播活動。
在4.5版中,攻擊者們將斯洛伐克、捷克共和國、希臘和保加利亞添加到未來活動的國家列表中。攻擊者們為他們所有人重複使用相同的DGA種子,因此傳播此版本不需要他們做太多工作。
在發現4.5版幾天后,研究人員很快又發現了一個新的4.6版,並新增了奧地利和瑞士。此外,重新引入了在先前版本中刪除的一些國家:瑞典、波蘭、匈牙利和荷蘭。
這個新版本的Flubot不僅覆蓋了更多的國家/地區,攻擊者們還引入了一種新的誘餌:語音郵件。在這個新的“語音郵件”活動中,受感染的設備被用來向新的潛在受害者發送短信,其中用戶被引導到一個虛假網站。在攻擊者安裝“語音郵件”應用程序之後,它應該允許用戶收聽收到的語音郵件消息。在下圖中,我們可以看到針對西班牙用戶的VoiceMail活動。
2021年7月是活動較少的月份。在這個月,只有一個版本更新在本月初被觀察到,即Flubot4.7。這個新版本沒有根據國家或設備語言使用不同的DGA種子。攻擊者開始從種子列表中隨機選擇種子,這些種子和之前用於國家或設備語言的種子是一樣的。
除了與DGA種子相關的變化外,攻擊者還新增了一些國家,如塞爾維亞、克羅地亞和波斯尼亞和黑塞哥維那。
Flubot在夏天幾乎沒有活動,可能是開發人員忙於他們的暑假。在8月和10月攻擊者會陸續恢復他們的活動。
2021年8月至9月:Flubot4.7-4.9版本開始出現
在4.7版本中,攻擊者將澳大利亞也列入了攻擊名單。
僅僅一周後,攻擊者就發布了4.8版本,研究人員在其中發現了一些與UI消息和警報對話框相關的細微變化。
今年9月,Flubot又出現了一個版本變化,4.9版本出現了一些更小的變化,就像之前的4.8版本一樣。這一次,攻擊者在C2服務器中引入了新的web注入來竊取受害者的憑證。這兩個有微小變化(不是很相關)的新版本似乎是一種功能的回歸。在研究人員看來,這兩個月發生的最有趣的事情是攻擊者開始使用Flubot殭屍網絡傳播另一個惡意軟件家族。研究人員從C2服務器收到了一些smishing任務,其中虛假的“語音郵件”網站正在為Teabot(也稱為Anatsa和Toddler)而不是Flubot提供服務。
這非常有趣,因為它表明Flubot的攻擊者也可能與這個惡意軟件家族有關,或者至少可能有興趣將殭屍網絡出售給其他惡意軟件開發者,以達到欺騙的目的。正如我們將看到的,這不是Flubot傳播的唯一家族。