Operasi penegakan hukum internasional yang melibatkan 11 negara telah mencapai puncaknya dalam penghapusan ancaman malware seluler terkenal yang disebut FluBot.
“Malware Android ini telah menyebar secara agresif melalui SMS, mencuri kata sandi, detail perbankan online, dan informasi sensitif lainnya dari ponsel cerdas yang terinfeksi di seluruh dunia,” kata Europol dalam sebuah pernyataan.
“Investigasi kompleks” termasuk otoritas dari Australia, Belgia, Finlandia, Hongaria, Irlandia, Rumania, Spanyol, Swedia, Swiss, Belanda, dan AS.
FluBot, juga disebut Cabassous, muncul di alam liar pada Desember 2020, menutupi niat jahatnya di balik lapisan aplikasi pelacakan paket yang tampaknya tidak berbahaya seperti FedEx, DHL, dan Correos.
Ini terutama menyebar melalui pesan smishing (alias phishing berbasis SMS) yang menipu penerima yang tidak curiga untuk mengklik tautan untuk mengunduh aplikasi yang mengandung malware.
Setelah diluncurkan, aplikasi akan melanjutkan untuk meminta akses ke Layanan Aksesibilitas Android untuk secara diam-diam menyedot kredensial rekening bank dan informasi sensitif lainnya yang disimpan dalam aplikasi cryptocurrency.
Lebih buruk lagi, malware memanfaatkan aksesnya ke kontak yang disimpan di perangkat yang terinfeksi untuk menyebarkan infeksi lebih lanjut dengan mengirimkan pesan yang berisi tautan ke malware FluBot.
Kampanye FluBot, meskipun utamanya merupakan malware Android, juga telah berevolusi untuk menargetkan pengguna iOS dalam beberapa bulan terakhir, di mana pengguna yang mencoba mengakses tautan yang terinfeksi dialihkan ke situs phishing dan penipuan berlangganan.
“Infrastruktur FluBot ini sekarang berada di bawah kendali penegakan hukum, menghentikan spiral destruktif,” badan tersebut mencatat, menambahkan bahwa Polisi Belanda mengatur penyitaan bulan lalu.
Menurut laporan lanskap ancaman seluler ThreatFabric untuk H1 2022, FluBot adalah trojan perbankan paling aktif kedua di belakang Hydra, terhitung 20,9% dari sampel yang diamati antara Januari dan Mei.
“ThreatFabric telah bekerja erat dengan penegak hukum dalam kasus ini,” kata pendiri dan CEO Han Sahin kepada The Hacker News.
“Ini adalah kemenangan besar mengingat pelaku ancaman FluBot memiliki atau memiliki salah satu strategi paling tangguh dalam hal distribusi dan hosting backend mereka dengan Terowongan DNS melalui layanan DNS-over-HTTPS publik. Ketahanan backend dalam hosting dan fronting C2 inilah yang membuat upaya unit kejahatan digital Belanda sangat mengesankan.”
Perusahaan keamanan siber Belanda juga mencatat bahwa sampel malware unik yang dikembangkan oleh operator FluBot berhenti setelah 19 Mei, bertepatan dengan penghapusan, secara efektif memperlambat “upaya worming” mereka.
“Dampak keseluruhan [of the dismantling] pada lanskap ancaman seluler terbatas karena FluBot bukan trojan perbankan Android terkuat,” tambah Sahin. “Exo, Anatsa, Gustuff, itu adalah masalah nyata bagi pengguna mana pun. Kekuatan di balik FluBot selalu [its] angka infeksi.”