Międzynarodowa operacja organów ścigania obejmująca 11 krajów doprowadziła do usunięcia jednego z najszybciej rozprzestrzeniających się mobilnych złośliwych programów. Znany jako FluBot, to złośliwe oprogramowanie na Androida było intensywnie rozprzestrzeniane za pośrednictwem wiadomości SMS, kradnąc hasła, dane bankowości online i inne wrażliwe informacje z zainfekowanych smartfonów na całym świecie. Jego infrastruktura została skutecznie zakłócona wcześniej w maju przez holenderską policję (Politie), czyniąc ten wariant złośliwego oprogramowania nieaktywnym.
Osiągnięcie to jest wynikiem złożonego dochodzenia, w którym uczestniczyły organy ścigania Australii, Belgii, Finlandii, Węgier, Irlandii, Hiszpanii, Szwecji, Szwajcarii, Holandii i Stanów Zjednoczonych, a koordynacją działań międzynarodowych zajmowało się europejskie centrum ds. walki z cyberprzestępczością Europolu (EC3).
Obecnie trwa dochodzenie mające na celu zidentyfikowanie osób stojących za tą globalną kampanią złośliwego oprogramowania.
Jak działał FluBot
Po raz pierwszy zauważony w grudniu 2020 roku, FluBot zyskał na popularności w 2021 roku i skompromitował ogromną liczbę urządzeń na całym świecie, w tym poważne przypadki w Hiszpanii i Finlandii.
Złośliwe oprogramowanie było instalowane za pośrednictwem wiadomości tekstowych, które prosiły użytkowników Androida o kliknięcie linku i zainstalowanie aplikacji, która miała śledzić dostawę paczki lub odsłuchać fałszywą wiadomość poczty głosowej. Po zainstalowaniu złośliwa aplikacja, którą w rzeczywistości był FluBot, prosiła o uprawnienia dostępu. Hakerzy wykorzystywali następnie ten dostęp do kradzieży danych uwierzytelniających aplikacji bankowej lub szczegółów konta kryptowalutowego i wyłączali wbudowane mechanizmy bezpieczeństwa.
Ta odmiana złośliwego oprogramowania była w stanie rozprzestrzeniać się jak ogień dzięki swojej zdolności do uzyskania dostępu do kontaktów zainfekowanego smartfona. Wiadomości zawierające linki do złośliwego oprogramowania FluBot były następnie wysyłane na te numery, pomagając w dalszym rozprzestrzenianiu się złośliwego oprogramowania.
Wspomniana infrastruktura FluBota znajduje się obecnie pod kontrolą organów ścigania, co pozwoliło na zatrzymanie destrukcyjnej spirali.
Międzynarodowa współpraca policji
Przy przypadkach rozprzestrzeniających się w całej Europie i Australii międzynarodowa współpraca policyjna miała kluczowe znaczenie dla likwidacji infrastruktury przestępczej FluBot.
Europejskie centrum ds. walki z cyberprzestępczością Europolu połączyło krajowych śledczych w dotkniętych państwach w celu ustanowienia wspólnej strategii, zapewniło wsparcie w zakresie kryminalistyki cyfrowej i ułatwiło wymianę informacji operacyjnych potrzebnych do przygotowania się do końcowej fazy akcji. J-CAT, którego siedziba znajduje się w Europolu, również wspierało dochodzenie. W dniu przejęcia Europol utworzył również wirtualne stanowisko dowodzenia, aby zapewnić płynną koordynację między wszystkimi zaangażowanymi organami.
Moje urządzenie zostało zainfekowane – co mam robić?
Złośliwe oprogramowanie FluBot jest ukryte jako aplikacja, więc może być trudne do wykrycia. Istnieją dwa sposoby na stwierdzenie, czy aplikacja może być złośliwym oprogramowaniem:
- Jeśli próbujesz uruchomić aplikację, a ona się nie otwiera
- Jeśli próbujesz odinstalować aplikację, a zamiast tego pojawia się komunikat o błędzi
Jeśli uważasz, że aplikacja może być złośliwym oprogramowaniem, przywróć telefon do ustawień fabrycznych.
W dochodzeniu wzięły udział następujące organy:
- Australia: Australijska Policja Federalna
- Belgia: Policja Federalna (Federale Politie / Police Fédérale)
- Finlandia: Krajowe Biuro Śledcze (Poliisi)
- Węgry: Krajowe Biuro Śledcze (Nemzeti Nyomozó Iroda)
- Irlandia: An Garda Síochána
- Rumunia: Policja Rumuńska (Poliția Română)
- Szwecja: Szwedzki Urząd Policji (Polisen)
- Szwajcaria: Federalny Urząd Policji (fedpol)
- Hiszpania: Policja Narodowa (Policia Nacional)
- Holandia: Policja Krajowa (Politie)
- Stany Zjednoczone: Secret Service Stanów Zjednoczonych (United States Secret Service)
***
Link2Secure.com posiada zgodę EUROPOL-u na wykorzystywanie materiałów ze strony www.europol.europa.eu w celu zapobiegania cyberprzestępczości, propagowania właściwych zachowań i zwiększania świadomości czytelników portalu w kontekście cyberbezpieczeństwa.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych