به گزارش کارگروه امنیت سایبربان؛ بدافزار Flubot (فلوبات) همچنان در حال تکامل است. کمپین های جدیدی شناسایی شده که این بدافزار را در قالب فلش پلیر منتشر می کنند. ظاهرا توسعه دهندگان آن، قابلیت های جدیدی را به آن افزوده اند.
فلوبات یک تروجان بانکی اندرویدی است که با نمایش فرم های لاگین در بسیاری از بانک های دنیا، اقدام به سرقت داده های احراز هویت می کنند.
تله های فیشینگ پیامکی مورد استفاده در انتشار این بدافزار شامل آپدیت های امنیتی جعلی، فلش پلیرهای جعلی ادوبی، جعل اعلان های ارسال سریع است.
فلوبات به محض ورود به دستگاه می تواند کارهای زیر را عملی کند:
- سرقت داده های احراز هویت آنلاین بانکی
- ارسال یا ایجاد اخلال در پیامک
- تهیه اسکرین شات
این بدافزار به دلیل استفاده از دستگاه قربانی برای ارسال پیامک فیشینگ به تمامی مخاطبین، به سرعت انتشار پیدا می کند.
MalwareHunterTeam مدعی شد که کمپین های جدید فلوبات از طریق متن پیامک منتشر می شود. در این پیامک از دریافت کنندگان در مورد تمایل به آپلود ویدیو از دستگاه سوال می شود.
هنگامی دریافت کنندگان بر روی لینک موجود در این پیامک کلیک می کنند، به صفحه ای هدایت می شوند که در آن یک اپلیکیشن فلش پلیر جعلی به آن ها ارائه می شود. این اپلیکیشن، بدافزار فلوبات را بر روی دستگاه اندرویدی نصب می کند.
کاربران اندروید همواره بایستی از نصب اپلیکیشن های موجود در سایت های کم نام و نشان امتناع کنند تا به بدافزار آلوده نشوند.
الگوریتم تولید دامین فلوبات به جای 3 دامین، از 30 دامین سطح بالا استفاده می کند.
این ورژن جدید فلوبات حالا از طریق تونل سازی DNS بر روی HTTPS به سرور کنترل و فرمان متصل می شود. این بدافزار در نسخه های پیشین خود، از پورت 433 مستقیم HTTPS استفاده می کرد.
نسخه جدید فلوبات دارای قابلیت های زیر می باشد:
- باز کردن URL های درخواستی
- دسترسی به لیست مخاطبین قربانی
- لغو نصب اپلیکیشن های موجود
- غیر فعال سازی بهینه ساز باتری اندروید
- سوءاستفاده از سرویس دسترسی اندروید برای کی لاگینگ و اسکرین شات
- اجرای تماس در زمان نیاز
- غیر فعال سازی سیستم حفاظت گوگل پلی
- مخفی سازی پیامک های جدید برای سرقت رمزهای یک بار مصرف
- آپلود پیامک حاوی اطلاعات قربانی به سرور کنترل و فرمان
فلوبات در مجموع هیچ یک از فرمان های قبلی را منسوخ نکرده و تنها با اضافه کردن برخی قابلیت ها، خود را توسعه داده است.
