2 يونيو، 2022 0 تعليقات

إزالة برنامج التجسس FluBot Android في عملية إنفاذ القانون العالمية

بلغت عملية إنفاذ القانون الدولية التي شملت 11 دولة ذروتها في إزالة تهديد البرمجيات الخبيثة سيئة السمعة على الأجهزة المحمولة يسمى FluBot .

وقال يوروبول في بيان : “هذا البرنامج الضار الذي يعمل بنظام Android ينتشر بقوة عبر الرسائل القصيرة وسرقة كلمات المرور وتفاصيل الخدمات المصرفية عبر الإنترنت وغيرها من المعلومات الحساسة من الهواتف الذكية المصابة في جميع أنحاء العالم” .

شمل “التحقيق المعقد” سلطات من أستراليا وبلجيكا وفنلندا والمجر وإيرلندا ورومانيا وإسبانيا والسويد وسويسرا وهولندا والولايات المتحدة.

ظهر FluBot ، المعروف أيضًا باسم Cabassous ، في البرية في ديسمبر 2020 ، لإخفاء نيته الخبيثة وراء قشرة تطبيقات تتبع الطرود التي تبدو غير ضارة مثل FedEx و DHL و Correos.

ينتشر بشكل أساسي عن طريق الرسائل النصية القصيرة (المعروفة أيضًا باسم التصيد المستند إلى الرسائل القصيرة) التي تخدع المستلمين المطمئنين للنقر على رابط لتنزيل التطبيقات التي تحتوي على برامج ضارة.

بمجرد إطلاق التطبيق ، سيشرع التطبيق في طلب الوصول إلى خدمة إمكانية الوصول في Android لسحب بيانات اعتماد الحساب المصرفي وغيرها من المعلومات الحساسة المخزنة في تطبيقات العملة المشفرة خلسة.

ومما زاد الطين بلة ، استفادت البرامج الضارة من وصولها إلى جهات الاتصال المخزنة في الجهاز المصاب لنشر العدوى بشكل أكبر عن طريق إرسال رسائل تحتوي على روابط إلى برنامج FluBot الضار.

على الرغم من أن حملات FluBot هي في الأساس برامج ضارة لنظام Android ، فقد تطورت أيضًا لاستهداف مستخدمي iOS في الأشهر الأخيرة ، حيث يتم إعادة توجيه المستخدمين الذين يحاولون الوصول إلى الروابط المصابة إلى مواقع التصيد الاحتيالي وعمليات الاحتيال في الاشتراك.

وأشارت الوكالة إلى أن “البنية التحتية لفلوبوت هذه تخضع الآن لسيطرة سلطات إنفاذ القانون ، مما يضع حدا للدوامة المدمرة” ، مضيفة أن الشرطة الهولندية دبرت عملية الاستيلاء الشهر الماضي.

وفقًا لتقرير مشهد التهديد المحمول لشركة ThreatFabric للنصف الأول من عام 2022 ، كان FluBot ثاني أكثر طروادة المصرفية نشاطًا بعد Hydra ، حيث يمثل 20.9٪ من العينات التي تمت ملاحظتها بين يناير ومايو.

قال المؤسس والرئيس التنفيذي هان شاهين لصحيفة The Hacker News: “عملت ThreatFabric بشكل وثيق مع تطبيق القانون في القضية”.

“إنه فوز رائع بالنظر إلى أن الجهات الفاعلة في مجال تهديد FluBot لديها أو لديها واحدة من أكثر الاستراتيجيات مرونة عندما يتعلق الأمر بتوزيع واستضافة الخلفيات الخلفية الخاصة بهم باستخدام نفق DNS من خلال خدمات DNS-over-HTTPS العامة . هذه المرونة الخلفية في استضافة C2 والواجهة هي ما الذي يجعل جهود وحدة الجرائم الرقمية الهولندية مبهرة للغاية “.

أشارت شركة الأمن السيبراني الهولندية أيضًا إلى أن عينات البرامج الضارة الفريدة التي طورها مشغلو FluBot توقفت بعد 19 مايو ، بالتزامن مع الإزالة ، مما أدى بشكل فعال إلى إبطاء “جهودهم في مكافحة الديدان”.

وأضاف شاهين: “التأثير الإجمالي [للتفكيك] على مشهد التهديدات على الهاتف المحمول محدود نظرًا لأن FluBot ليس أقوى حصان طروادة مصرفي يعمل بنظام Android”. ” Exobot و Anatsa و Gustuff – هذه مشكلة حقيقية لأي مستخدم. القوة الكامنة وراء FluBot كانت دائمًا أرقام الإصابة.”