На прошлой неделе власти Барселоны сообщили о задержании четырех подозреваемых в управлении Android-ботнетом FluBot, который уже заразил больше 60 000 устройств.
Впервые FluBot был замечен экспертами компании ThreatFabric в начале текущего года, а недавно аналитики швейцарской фирмы PRODAFT подготовили о подробный отчет от этой малвари. Судя по всему, именно собранные экспертами данные и привели к аресту операторов малвари.
FluBot представляет собой банковский троян, который способен показывать фейковые экраны логина поверх других приложений. Таким образом вредонос собирает учетные данные от электронного банкинга и данные платежных карт своих жертв.
Внушительное количество заражений FluBot, скорее всего, объясняется наличием в его коде малвари червеобразного механизма, благодаря которому злоумышленники могут загрузить адресную книгу жертвы на свой управляющий сервер, и рассылать оттуда вредоносный SMS-спам. Аналитики PRODAFT предупреждали, что с зараженных устройств было собрано более 11 000 000 телефонных номеров (почти 25% всего населения Испании), а каталонские официальные лица говорят, что отследили не менее 71 000 спам-сообщений, отправленных группой.
Испанские правоохранители сообщают, что ими были задержаны четверо мужчин в возрасте от 19 до 27 лет, чьи имена не разглашаются. Двое из них считаются лидерами группировки и оставлены под стражей, тогда как еще двое были отпущены на свободу, но обязаны явиться в суд. Похоже, один из лидеров хак-группы отвечал за техническую сторону операций FluBot, написал малварь и создавал фальшивые страницы логина для имитации различных банкингов.
Следователи также провели обыски в квартирах подозреваемых, где изъяли наличные, ноутбуки, документы и мобильные устройства. Якобы некоторые из этих мобильных устройств были куплены на деньги пострадавших.
«Помимо совершения денежных переводов [со счетов жертв], преступники расплачивались картами пострадавших и покупали люксовые мобильные телефоны, которые отправляли людям, проживающим в провинции Мадрид и получавшим деньги за получение посылок», — рассказывают власти.
Desmantellem grup criminal especialitzat en l'#Smishing o l'estafa amb missatges SMS, amb els quals obtenien dades bancàries i del telèfon mòbil de les víctimes. Dos dels integrants, que formaven la cúpula, ja són a presó pic.twitter.com/d2XiWa0rCP
— Mossos (@mossos) March 5, 2021
Несмотря на эти аресты, FluBot по-прежнему активен и продолжает распространяться. Пока неясно, остались ли на свободе другие члены хакерской группы, руководящие ботнетом, или управляющие серверы вредоноса работают автоматически, и сейчас ботнет функционирует «по инерции».
