FluBot

Начальное заражение устройства происходит через фишинговые SMS-сообщения (смишинг). Злоумышленники маскируют их под уведомления от известных служб доставки (например, DHL, UPS, FedEx) или сообщения о пропущенной голосовой почте. Сообщения содержат вредоносную ссылку, при переходе по которой пользователю предлагается загрузить и установить приложение в виде APK-файла^[2]. После установки троян запрашивает доступ к специальным возможностям операционной системы Android (Accessibility Services). Получение этого разрешения даёт вирусу широкие права для управления устройством и взаимодействия с интерфейсами других программ^[3].

Основным механизмом кражи конфиденциальных данных являются оверлей-атаки. Когда пользователь открывает целевое банковское или криптовалютное приложение, FluBot мгновенно перекрывает его поддельным окном (оверлеем), имитирующим оригинальный интерфейс. Введённые логины и пароли перехватываются и отправляются на сервер злоумышленников^[2][4]. Кроме того, троян получает возможность читать и перехватывать входящие SMS-сообщения, что позволяет ему похищать одноразовые коды подтверждения транзакций^[5]. Вирус также обладает способностью к самораспространению: он извлекает список контактов из заражённого устройства и использует его для массовой рассылки новых фишинговых SMS^[6].

Для обеспечения отказоустойчивой связи с командными серверами и защиты от блокировок FluBot использует алгоритм генерации доменов (DGA). В поздних версиях вредоносной программы этот механизм был дополнен технологией DNS-over-HTTPS (DoH), которая шифрует DNS-запросы, скрывая сетевой трафик под видом легитимных соединений с публичными DNS-серверами^[7][8].

Впервые троян FluBot был зафиксирован в конце 2020 года, его первоначальные атаки были нацелены на пользователей в Испании. В течение 2021 года география атак значительно расширилась на другие страны Европы, включая Великобританию, Италию и Венгрию^[9][10]. В Австралии за восемь недель 2021 года в Scamwatch, принадлежащий Австралийской комиссии по конкуренции и защите прав потребителей, поступило 16 000 сообщений о FluBot^[11]. Хотя основное освещение FluBot связано с Австралия^[12] и Новой Зеландией, атаки также были зафиксированы в ряде европейских стран, например в Германии и Польше во время кампаний 2022 года^[11]. К началу 2022 года заражёнными устройствами использовалось около 1,3 миллиона IP-адресов, при этом большинство заражений (74 %) было сконцентрировано в Европе^[13].

В мае 2022 года инфраструктура FluBot была ликвидирована в результате операции с участием 11 стран, координируемой Европолом. Ключевую роль в операции сыграла полиция Нидерландов, которая взяла под контроль серверы вредоносного ПО. В результате этих действий от сети было отключено около 10 000 жертв и предотвращена рассылка более 6,5 миллионов спам-сообщений^[13].^[14][15]

Ранее, в марте 2021 года, в Испании были арестованы четыре человека, причастные к распространению трояна, однако во время ликвидации инфраструктуры в 2022 году новых арестов не производилось^[13][16]. Троян считается неактивным, и, по мнению экспертов, повторного появления вируса не ожидается^[17][13].

Для защиты от трояна специалисты по кибербезопасности рекомендуют соблюдать следующие основные меры предосторожности:

• не переходить по подозрительным ссылкам в SMS-сообщениях^[18];
• запретить установку приложений из неизвестных источников^[19];
• внимательно проверять разрешения, запрашиваемые приложениями при установке^[19].

Для удаления вредоносного программного обеспечения с уже заражённого устройства применяются следующие методы:

• удаление вредоносного приложения в безопасном режиме (Safe Mode)^[2];
• полный сброс устройства до заводских настроек (factory reset), что считается наиболее надёжным способом удаления всех компонентов трояна^[20].