На прошлой неделе власти Барселоны сообщили о задержании четырех подозреваемых в управлении Android-ботнетом FluBot, который уже заразил больше 60 000 устройств.

Впервые FluBot был замечен экспертами компании ThreatFabric в начале текущего года, а недавно аналитики швейцарской фирмы PRODAFT подготовили о подробный отчет от этой малвари. Судя по всему, именно собранные экспертами данные и привели к аресту операторов малвари.

FluBot  представляет собой банковский троян, который способен показывать фейковые экраны логина поверх других приложений. Таким образом вредонос собирает учетные данные от электронного банкинга и данные платежных карт своих жертв.

Внушительное количество заражений FluBot, скорее всего, объясняется наличием в его коде малвари червеобразного механизма, благодаря которому злоумышленники могут загрузить адресную книгу жертвы на свой управляющий сервер, и рассылать оттуда вредоносный SMS-спам. Аналитики PRODAFT предупреждали, что с зараженных устройств было собрано более 11 000 000 телефонных номеров (почти 25% всего населения Испании), а каталонские официальные лица говорят, что отследили не менее 71 000 спам-сообщений, отправленных группой.

Испанские правоохранители сообщают, что ими были задержаны четверо мужчин в возрасте от 19 до 27 лет, чьи имена не разглашаются. Двое из них считаются лидерами группировки и оставлены под стражей, тогда как еще двое были отпущены на свободу, но обязаны явиться в суд.  Похоже, один из лидеров хак-группы отвечал за техническую сторону операций FluBot, написал малварь и создавал фальшивые страницы логина для имитации различных банкингов.

Следователи также провели обыски в квартирах подозреваемых, где изъяли наличные, ноутбуки, документы и мобильные устройства. Якобы некоторые из этих мобильных устройств были куплены на деньги пострадавших.

«Помимо совершения денежных переводов [со счетов жертв], преступники расплачивались картами пострадавших и покупали люксовые мобильные телефоны, которые отправляли людям, проживающим в провинции Мадрид и получавшим деньги за получение посылок», — рассказывают власти.

Несмотря на эти аресты, FluBot по-прежнему активен и продолжает распространяться. Пока неясно, остались ли на свободе другие члены хакерской группы, руководящие ботнетом, или управляющие серверы вредоноса работают автоматически, и сейчас ботнет функционирует «по инерции».

Оставить мнение