BitSight hat seit März 2021 Telemetriedaten zu FluBot-Infektionen gesammelt. Insgesamt wurden 1,3 Millionen IPs identifiziert, die von infizierten Android-Geräten verwendet wurden. Mehr als die Hälfte davon (61 Prozent) befanden sich in Deutschland und Spanien, dazu nahmen die IPs im Laufe der Zeit zu, was wahrscheinlich auf eine Zunahme der infizierten Geräte hinweist.
FluBot wurde erstmals Anfang 2020 entdeckt und ist ein Banking-Trojaner, der zum Diebstahl von Bank-, Kontakt-, SMS- und anderen privaten Daten verwendet wird. Seine Betreiber haben Social-Engineering-Taktiken und Verteilungsmethoden weiterentwickelt, die das kontinuierliche Wachstum und die Ausbreitung von FluBot fördern.
FluBot ermöglicht Bedrohungsakteuren die vollständige Fernsteuerung eines infizierten Geräts, einschließlich der Möglichkeit, SMS-Nachrichten und -Benachrichtigungen zu senden, abzufangen und zu verbergen, sensible Benutzerdaten wie Kontakte, Eingaben, Einmal-Passcodes und persönliche Informationen zu exfiltrieren und Overlay-Angriffe durchzuführen.
Die Malware wird in der Regel über SMS-Nachrichten an die Kontakte auf einem infizierten Gerät sowie über Kontakte verbreitet, die vom C2-Server von FluBot heruntergeladen wurden. FluBot erscheint in der Regel als Nachricht für eine Paketzustellung.
BitSights Beobachtungen
Die Malware ist momentan hauptsächlich in Europa verbreitet, insbesondere in Deutschland, Spanien und Italien (74 Prozent), darüber hinaus auch in Australien (sieben Prozent). Dies unterstreicht jüngste Berichte, die darauf hindeuten, dass die Betreiber von FluBot gezielt verschiedene Regionen oder Länder anvisieren, könnte jedoch auch eine Folge der Verbreitung sein. Es ist naheliegend, dass die meisten Kontakte eines Opfers aus der gleichen Region oder dem gleichen Land stammen. Eine regionale Infektion ist also möglicherweise nicht beabsichtigt, sondern eher eine Folge des Malware-Designs.
Seit BitSight FluBot trackt, haben auch die betroffenen IPs zugenommen. Die Anzahl der IPs entspricht nicht zwangsläufig der Anzahl der infizierten Geräte, da ein mobiles Gerät aufgrund von Network Address Translation (NAT) und IPv4-Erschöpfung unter Umständen dieselbe IPv4-Adresse mit anderen Geräten teilt. Ein Anstieg der IPs kann jedoch ein Indikator für steigende Geräteinfektionen sein.
Im Januar kontaktierten etwa 170.000 IPs (die von infizierten Geräten verwendet wurden) die BitSight Sinkhole-Infrastruktur. Die meisten von ihnen waren mit der FluBot Version 4.8 oder älteren Versionen infiziert. Diese Versionen kommunizieren mit ihrem C2-Server über HTTPS. Seit Version 4.9 kommuniziert FluBot mit seinem C2-Server über DNS-Tunneling-over-HTTPS (DoH). Von den 170.000 IPs, die im Januar beobachtet wurden, waren etwa 30.000 mit FluBot 4.9 bis 5.2 (der zum Zeitpunkt der Erstellung dieses Berichts aktuellen Version) infiziert.
FluBot verwendet einen Domänenerzeugungsalgorithmus (DGA), um mit seinem C2-Server zu kommunizieren. In Version 5.1 wurde der DGA aktualisiert (Python-Version im Abschnitt IOCs). Zu den Änderungen gehört ein neuer zusätzlicher Seed, der vom C2-Server heruntergeladen wird, um mehr Domains zu generieren.
Mit diesen neueren Versionen legt ein Angreifer einen Nameserver fest, der als C2-Server fungiert und Daten über das DNS-Protokoll empfängt und sendet. FluBot verwendet DoH-Anbieter wie Google und Cloudflare, um die Daten in den C2-Server einzuschleusen und zu exfiltrieren, so dass das infizierte Gerät mit seinem C2-Server kommuniziert, ohne seine IP-Adresse zu kennen.
Der DNS-Anbieter leitet die DNS-Anfrage an den C2-Server (Nameserver) weiter, der eine vom Bot angeforderte TXT-DNS-Antwort zurücksendet. Die Anfrage enthält einen vom Bot generierten symmetrischen Schlüssel, der RSA-verschlüsselt ist, und der private Schlüssel befindet sich auf der Seite des C2-Servers.
FluBot entschärfen
Die Angriffe scheinen nicht speziell auf Unternehmen, sondern auf Einzelpersonen abzuzielen, dennoch ist es auch für Unternehmen wichtig, geeignete Maßnahmen zur Risikominderung zu ergreifen.
Da FluBot über Social Engineering verbreitet wird, ist die Aufklärung der Mitarbeiter unerlässlich. So zeigen Beispiele für FluBot-SMS-Nachrichten und bösartige Köder-Seiten Mitarbeitern, worauf sie achten müssen. Eine wirksame Mitarbeiterschulung kann darüber hinaus eine FluBot-Infektion verhindern.
Anti-Malware-Software hilft FluBot-Infektionen zu verhindern, zu erkennen und zu entfernen. Dazu kann die Malware auch manuell entfernt werden, was jedoch sehr zeitaufwändig ist – vor allem, wenn die Infektion weit verbreitet ist. Lösungen für die Verwaltung mobiler Geräte (Mobile Device Management – MDM), die die Möglichkeit zur Installation von Anwendungen einschränken können, sind ebenfalls sinnvoll.
André Tavares, Threat Researcher BitSight