國(guó)際執(zhí)法部門(mén)目前已經(jīng)摧毀了Flubot背后的基礎(chǔ)設(shè)施，這是一個(gè)令人十分討厭的惡意軟件，自2020年12月以來(lái)就以前所未有的速度在全球Android設(shè)備上進(jìn)行傳播。

歐洲刑警組織周三透露，通過(guò)11個(gè)國(guó)家的執(zhí)法部門(mén)之間的合作，荷蘭警方（或稱(chēng)Politie）終于在5月初摧毀了Flubot網(wǎng)絡(luò)，據(jù)該機(jī)構(gòu)稱(chēng)，此次行動(dòng)使得這種惡意軟件不會(huì)再活躍。

澳大利亞、比利時(shí)、芬蘭、匈牙利、愛(ài)爾蘭、西班牙、瑞典、瑞士、荷蘭和美國(guó)的執(zhí)法部門(mén)在歐洲刑警組織的歐洲網(wǎng)絡(luò)犯罪中心（EC3）的協(xié)調(diào)下，參與了這項(xiàng)打擊工作。

具體而言，EC3與受影響國(guó)家的安全調(diào)查員進(jìn)行了合作，制定了一項(xiàng)聯(lián)合戰(zhàn)略，提供了各種數(shù)字取證支持手段，并且此次行動(dòng)也促進(jìn)了各個(gè)國(guó)家實(shí)體之間的業(yè)務(wù)信息交流。

歐洲刑警組織稱(chēng)，國(guó)際執(zhí)法小組將會(huì)繼續(xù)尋找該攻擊活動(dòng)的幕后成員，不過(guò)目前這些人仍然在逃。

像野火一樣迅速蔓延

Flubot通過(guò)短信進(jìn)行傳播，這些短信會(huì)誘使安卓用戶點(diǎn)擊一個(gè)鏈接并安裝一個(gè)應(yīng)用程序，然后才可以追蹤到一個(gè)包裹的交付信息或接聽(tīng)到一個(gè)虛假的語(yǔ)音信箱信息。這些惡意鏈接就會(huì)安裝FluBot木馬，然后要求獲取設(shè)備上的權(quán)限，從而導(dǎo)致各種欺詐行為。

雖然FluBot的攻擊行為更像是一個(gè)典型的木馬文件，它可以竊取銀行應(yīng)用程序或加密貨幣賬戶的各種憑證，并禁用應(yīng)用內(nèi)置的各種安全措施。但其運(yùn)營(yíng)商通過(guò)使用獨(dú)特的方法，使得該惡意軟件能夠像野火一樣迅速傳播。

BitDefender的研究人員在1月份觀察到，這些應(yīng)用一旦被安裝在設(shè)備上，F(xiàn)lubot就會(huì)訪問(wèn)這些用戶的聯(lián)系人名單，并開(kāi)始向名單上的每個(gè)人發(fā)送新的信息，創(chuàng)造出一種動(dòng)態(tài)的、跨時(shí)區(qū)和地區(qū)的病毒傳播效應(yīng)。

他們?cè)诋?dāng)時(shí)發(fā)表的一份報(bào)告中寫(xiě)道，這些威脅之所以能夠存在，是因?yàn)樗鼈儠?huì)在不同的時(shí)區(qū)使用不同的信息一次又一次地進(jìn)行攻擊。雖然惡意軟件本身的功能并沒(méi)有發(fā)生變化，但投放者所使用的域名以及其他信息都在不斷變化。

研究人員指出，正是這一特點(diǎn)使得Flubot的操作者能夠迅速改變目標(biāo)以及其他惡意軟件的特征，這使得他們的攻擊面會(huì)瞬間從新西蘭和芬蘭這樣的區(qū)域不斷進(jìn)行擴(kuò)大。

改變攻擊戰(zhàn)術(shù) 

除了利用目標(biāo)用戶自己的聯(lián)系人名單來(lái)傳播惡意軟件外，F(xiàn)lubot運(yùn)營(yíng)商還采用了一些獨(dú)特且具有創(chuàng)造性的戰(zhàn)術(shù)，試圖誘騙安卓用戶下載該木馬，甚至在其全球攻擊活動(dòng)期間與另一個(gè)移動(dòng)威脅集團(tuán)聯(lián)手合作。

去年10月，F(xiàn)lubot使用了一個(gè)虛假的安全警告，并試圖欺騙用戶認(rèn)為他們的設(shè)備已經(jīng)感染了Flubot，讓他們?nèi)c(diǎn)擊一個(gè)通過(guò)短信來(lái)傳播的虛假的安全更新。這種獨(dú)特的戰(zhàn)術(shù)主要用在了針對(duì)新西蘭的安卓用戶的攻擊活動(dòng)中。

幾個(gè)月后，在今年2月，F(xiàn)lubot將其基礎(chǔ)設(shè)施與另一個(gè)被稱(chēng)為Medusa的移動(dòng)威脅集團(tuán)進(jìn)行了合作，Medusa是一個(gè)移動(dòng)銀行木馬，ThreatFabric的研究人員發(fā)現(xiàn)，該木馬可以獲得對(duì)用戶設(shè)備的近乎完全的控制。這種威脅組織之間的合作關(guān)系導(dǎo)致了全球大量的惡意軟件的攻擊活動(dòng)。

事實(shí)上，即使Flubot沒(méi)有出現(xiàn)，目前的安卓用戶也仍然需要警惕威脅。最近出現(xiàn)了一種被稱(chēng)為"EnemyBot"的可利用現(xiàn)有漏洞進(jìn)行攻擊的物聯(lián)網(wǎng)惡意軟件，其目標(biāo)是安卓設(shè)備以及內(nèi)容管理系統(tǒng)和網(wǎng)絡(luò)服務(wù)器。

根據(jù)ThreatFabric最近發(fā)布的一份關(guān)于當(dāng)前移動(dòng)威脅的報(bào)告，其他普遍存在的威脅，如Joker fleeceware和可能在受感染設(shè)備上進(jìn)行欺詐交易的惡意軟件，如Octo和Ermac，也會(huì)繼續(xù)對(duì)安卓用戶構(gòu)成重大的安全風(fēng)險(xiǎn).

本文翻譯自：https://threatpost.com/international-authorities-take-down-flubot-malware-network/179825/如若轉(zhuǎn)載，請(qǐng)注明原文地址。