Infrastruktur des Flubot-Android-Trojaners durch Europol abgeschaltet

Publiziert am 1. Juni 2022 von Günter Born

Paragraph[English]Der Android-Banking-Trojaner Flubot richtete seit 2021 größere Schäden bei Opfern auf Android-Systemen an. Die letzte große Kampagne wurde vor wenigen Tagen gemeldet. Nun ist es Europol es wohl gelungen, die Infrastruktur des Flubot-Android-Trojaners abzuschalten. Ob damit das Geschäftsmodell gestoppt werden kann, steht auf einem anderen Blatt.

Anzeige

Die Flubot Smishing-Plage

Ich hatte gestern noch im Blog-Beitrag Nächste Runde: FluBot-Banking-Malware (Mai 2022) über eine neue Kampagne berichtet, bei der Cyberkriminelle Smartphone-Nutzer in Europa mit einer Neuauflage ihrer Smishing-Kampagne an, um die Malware Flubot zum Stehlen persönlicher Banking-Daten auf mobilen Telefonen in Europa zu verbreiten. Deutschland ist von allen Ländern am stärksten betroffen: 37,39 % der von Bitdefender beobachteten Angriffsversuche fanden hierzulande statt.

Der Trojaner Flubot wurde in der gegenwärtigen Fassung erstmals im Dezember 2020 entdeckt. Im Jahr 2021 hat FluBot an Bedeutung gewonnen und eine große Anzahl von Geräten weltweit kompromittiert. Neben Deutschland gab es wohl auch bedeutender Vorfälle in Spanien und Finnland. Europol bezeichnet Flubot als die sich am schnellsten verbreitende mobile Malware. Die Hintermänner verbreiteten diese Android-FluBot Malware sehr aggressiv über SMS. Anschließend stahl der Trojaner Passwörter, Online-Banking-Daten und andere sensible Informationen von infizierten Smartphones in aller Welt.

In Deutschland nutzten die Kriminellen eine gefälschte Version der Mobil-App von DHL, deren echte Version mit über einer Millionen Installationen sehr verbreitet und beliebt ist. Die Betreiber von Flubot verbreiteten ihre Malware direkt über personalisierte SMS, sogenanntes "Smishing". Dann wurde die bösartige Version der DHL-Mobile-App von den übertölpelten Nutzern per Sideloading auf Android-Geräte über die zugesandten Links installiert.

Europol hebt die Infrastruktur aus

Nun verkündet Europol die Beschlagnahme der SMS-basierenden FluBot Spyware bzw. der zugehörigen Infrastruktur, wie in nachfolgendem Tweet gemeldet wird. Die Details hat Europol in dieser Mitteilung veröffentlicht.

In einer international kooperierten Operation der Strafverfolgungsbehörden, an der 11 Länder beteiligt waren, wurde die Android-Malware Flubot – bzw. deren Infrastruktur – zerschlagen. Bereits Anfang Mai seit die Infrastruktur der Cybergang von der niederländischen Polizei (Politie) erfolgreich gestört worden, wodurch dieser Malware-Stamm inaktiv gesetzt wurde. Hier bin ich mir unsicher, ob der oben zitierte Bitdefender-Report einfach auf Ende April 2022 geschaut hat, oder ob noch Kampagnen liefen.

Die Operation zur Zerschlagung der Infrastruktur ist das Ergebnis einer komplexen Untersuchung, an der die Strafverfolgungsbehörden Australiens, Belgiens, Finnlands, Ungarns, Irlands, Spaniens, Schwedens, der Schweiz, der Niederlande und der Vereinigten Staaten beteiligt waren, wobei das Europäische Zentrum für Cyberkriminalität (EC3) von Europol die internationalen Aktivitäten koordinierte. An der Aktion waren folgende Polizeibehörden beteiligt:

  • Australia: Australian Federal Police
  • Belgium: Federal Police (Federale Politie / Police Fédérale)
  • Finland: National Bureau of Investigation (Poliisi)
  • Hungary : National Bureau of Investigation (Nemzeti Nyomozó Iroda)
  • Ireland: An Garda Síochána
  • Romania: Romanian Police (Poliția Română)
  • Sweden: Swedish Police Authority (Polisen)
  • Switzerland: Federal Office of Police (fedpol)
  • Spain: National Police (Policia Nacional)
  • Netherlands: National Police (Politie)
  • United States: United States Secret Service

Dazu heißt es: Unter Führung der Niederländischen Polizei, in Zusammenarbeit mit den elf Ländern: Australien, Belgien, Finland, Ungarn, Irland, Spanien, Schweiz, USA gelang es Ende Mai, die Infrastruktur zu lokalisieren und abzuschalten. Die Ermittlungen laufen weiter, mit dem Ziel, die Täter zu identifizieren. Wäre natürlich gut, wenn die Hintermänner dingfest gemacht werden könnten – denn die Infrastruktur könnte neu aufgezogen werden.

Anzeige

Benutzer, die den Verdacht haben, diese Malware auf ihren Android-Geräten zu haben, sollten diese auf die Werkseinstellungen zurücksetzen – empfehlen Europol und die Schweizer Polizei. Problem ist eher herauszufinden, ob die Malware auf dem Gerät ist. Das könnte durch einen Viren-Scanner-App festgestellt werden. Europol schreibt: Wenn Sie auf eine App tippen und sie sich nicht öffnet, oder wenn Sie versuchen, eine App zu deinstallieren, und stattdessen eine Fehlermeldung angezeigt wird, sei dies ein Hinweis auf Malware.

Ähnliche Artikel:
CERT-Bund-Warnung vor der FluBot Malware Android App (April 2021)
Achtung: Android FluBot Banking-Trojaner verbreitet sich in Deutschland
Smishing: Warnung vor Abzock-Welle mit Paket-SMS
Banking-Trojaner Flubot verbreitet sich in Deutschland stark (Juni 2021)
Nächste Runde: FluBot-Banking-Malware (Mai 2022)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Infrastruktur des Flubot-Android-Trojaners durch Europol abgeschaltet

  1. Problembär sagt:
    1. Juni 2022 um 17:22 Uhr

    Leider wahrscheinlich auch wieder nur temporär. Siehe Revil, Emotet und so weiter.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.