FinanseInne

Flubot – jak działa to złośliwe oprogramowanie i jak się przed nim chronić?

Filip Luchowski
przez
Filip Luchowski
przezFilip Luchowski
Redaktor zatoki biznesu
Filip Luchowski jest analitykiem finansowym w warszawskim oddziale międzynarodowej firmy doradczej. Ukończył Szkołę Główną Handlową w Warszawie na kierunku Finanse i Rachunkowość, a w ramach programu...
Follow:
- Redaktor zatoki biznesu
9 min. czytania
Mężczyzna programuje robota w kuchni

Złośliwe oprogramowanie znane jako FluBot stanowi jedno z najpoważniejszych zagrożeń bezpieczeństwa mobilnego ostatnich lat, szczególnie dla użytkowników Androida na całym świecie.

Spis treści

FluBot to zaawansowany trojan bankowy, który łączy inżynierię społeczną, techniki omijania wykrywania i agresywne mechanizmy samoobrony.

Choć w maju 2022 roku międzynarodowe siły policyjne podjęły skoordynowaną akcję, by przerwać infrastrukturę tego oprogramowania, wciąż istnieje ryzyko jego odrodzenia lub pojawienia się podobnych wariantów. Niniejszy materiał przedstawia mechanizmy działania FluBota, metody dystrybucji, zdolności techniczne, globalny wpływ oraz skuteczne sposoby ochrony i usuwania.

Początki i ewolucja FluBota – od odkrycia do globalnej ekspansji

FluBot został po raz pierwszy zauważony pod koniec 2020 roku, kiedy celował wyłącznie w użytkowników urządzeń Android w Hiszpanii. To zagrożenie, określane również jako Fedex Banker lub Cabassous, szybko stało się jednym z najaktywniewniejszych trojanów bankowych w ekosystemie mobilnym.

Rozpoczynając od ograniczonego zasięgu, FluBot błyskawicznie rozszerzył działalność na Niemcy, Polskę, Węgry i Włochy w pierwszej połowie 2021 roku. Do kwietnia 2021 roku badacze z Proofpoint odnotowali ok. 7 tysięcy zainfekowanych urządzeń w Wielkiej Brytanii oraz użycie ponad 700 unikalnych domen do dystrybucji.

Malware ewoluował zarówno geograficznie, jak i technicznie – kolejne wersje rozszerzały funkcje ukrywania, pozyskiwania danych i utrzymywania się na urządzeniach.

Jak wybrać paleciak ręczny, który wytrzyma pracę wielozmianową?
Hotel System dla dużych obiektów — nowoczesne oprogramowanie dla hoteli, które usprawnia zarządzanie na najwyższym poziomie
ZUS awaria – co robić, gdy system PUE ZUS nie działa?
Kiedy spadną raty kredytów? Prognozy stóp procentowych i WIBOR

Wersja 3.9 z kwietnia 2021 roku wprowadziła DNS over HTTPS (DoH), co znacząco utrudniło wykrywanie infekcji przez monitoring zapytań DNS. Wykorzystanie dostawców takich jak Cloudflare czy Google maskowało złośliwy ruch wśród legalnych zapytań. Ta technika kamuflażu czyniła FluBota wyjątkowo trudnym do analizy dla badaczy i operatorów sieci.

Mechanika rozprzestrzeniania – smishing i inżynieria społeczna

FluBot wykorzystuje smishing (phishing SMS-owy), by nakłonić użytkowników do pobrania złośliwej aplikacji podszywającej się np. pod DHL, FedEx, UPS czy krajowe poczty. Teksty i strony docelowe są projektowane tak, by wyglądały jak autentyczne powiadomienia o przesyłkach lub wiadomościach głosowych.

Kampanie smishingowe często modyfikują szablony i łącza, dodając losowe znaki lub literówki, aby ominąć filtry operatorów i nadal pozostać zrozumiałe dla odbiorców.

Tak zwykle wygląda łańcuch infekcji:

  1. Otrzymujesz SMS z linkiem rzekomo do śledzenia paczki lub odsłuchu wiadomości;
  2. Po kliknięciu trafiasz na stronę do złudzenia przypominającą serwis firmy kurierskiej lub banku, która zachęca do pobrania pliku APK;
  3. Podczas instalacji pojawia się sekwencja okien z prośbami o uprawnienia i włączenie instalacji z nieznanych źródeł (często co najmniej dziewięć potwierdzeń);
  4. Po instalacji malware prosi o dostęp do usług dostępności i rozpoczyna kradzież danych oraz dalsze rozprzestrzenianie się przez Twoje kontakty.

Techniczne mechanizmy działania FluBota

Po instalacji FluBot natychmiast żąda uprawnień do Accessibility Services, które dają aplikacji szeroką kontrolę nad urządzeniem – od odczytu ekranu, po wykonywanie akcji w imieniu użytkownika. To klucz do kradzieży danych i utrudniania usunięcia malware’u.

Najważniejsze zdolności FluBota można streścić następująco:

  • Algorytm DGA – dynamiczne generowanie domen do łączności z C2, co utrudnia blokowanie i zapewnia odporność na wyłączenia serwerów;
  • Nakładki ekranowe – fałszywe ekrany logowania nałożone na aplikacje bankowe/krypto, wyłudzające dane uwierzytelniające w czasie rzeczywistym;
  • Keylogging i przechwytywanie treści – rejestrowanie naciśnięć klawiszy i odczyt zawartości ekranu do pozyskiwania haseł oraz kodów;
  • Przechwytywanie SMS/OTP/2FA – pozyskiwanie jednorazowych haseł i kodów weryfikacyjnych wysyłanych przez banki i inne usługi;
  • Samoobrona – blokowanie prób odinstalowania (wymuszanie „wstecz”), wyłączanie Google Play Protect i utrudnianie dostępu do ustawień;
  • Automatyczna dystrybucja – wysyłka zainfekowanych SMS-ów do kontaktów ofiary, co napędza wykładnicze rozprzestrzenianie.

Rozszerzanie zagrożenia – globalne rozprzestrzenianie się

FluBot szybko wyszedł poza Europę, wykorzystując tani i skuteczny model masowej dystrybucji SMS oraz kontakty z przejętych urządzeń. Ataki były adaptowane do różnych języków i rynków przy minimalnych kosztach po stronie operatorów.

Poniższe przykłady pokazują skalę i dynamikę rozprzestrzeniania:

Kraj/region Okres Skala/metryka
Wielka Brytania do kwietnia 2021 ~7 000 zainfekowanych urządzeń; > 700 domen użytych
Nowa Zelandia Q3 2021 2/3 z 1 707 zgłoszeń malware dotyczyło FluBota
Australia VIII–X 2021 ponad 16 000 zgłoszeń oszustw związanych z FluBotem

Infrastruktura smishingowa była też wynajmowana innym grupom do dystrybucji malware, m.in. Medusy i TeaBota. To potwierdza istnienie zorganizowanego ekosystemu cyberprzestępczości, w którym FluBot był jednym z filarów dystrybucji.

Cele i ofiary – aplikacje bankowe i portfele kryptowalut

FluBot celował w dziesiątki europejskich aplikacji finansowych, m.in. Bankinter, BBVA, Santander, ING, Kutxabank, a także platformy krypto, takie jak Binance i Coinbase.

Kryptowaluty można szybko przenieść poza jurysdykcję krajową i bardzo trudno je odzyskać po kradzieży, co czyni je wyjątkowo atrakcyjnym celem dla operatorów FluBota.

Przerwanie infrastruktury i akcja międzynarodowych organów ścigania

W maju 2022 roku Policja Holenderska, koordynowana przez Europol, przejęła kluczowe serwery i domeny FluBota, przy współpracy służb z 11 krajów (m.in. Australii, Belgii, Finlandii, Węgier, Irlandii, Niemiec, Holandii, Hiszpanii, Szwecji, Wielkiej Brytanii i USA).

Infrastruktura FluBota jest teraz pod kontrolą organów ścigania, kończąc destrukcyjną spiralę.

Operacja znacząco ograniczyła skalę dystrybucji, jednak sprawcy nie zostali zidentyfikowani, co pozostawia ryzyko odtworzenia infrastruktury C2 lub migracji do innych botnetów. Wcześniejsze aresztowania w Hiszpanii (marzec 2021) nie zatrzymały ataków, co wskazuje na model Malware as a Service (MaaS).

Metody ochrony i profilaktyki

Aby zminimalizować ryzyko infekcji, stosuj poniższe praktyki bezpieczeństwa:

  • Ostrożność wobec linków w SMS – nie klikaj odnośników z nieznanych źródeł; śledź przesyłki wyłącznie przez oficjalne strony i aplikacje przewoźników;
  • Kontrola uprawnień – regularnie przeglądaj i ograniczaj uprawnienia aplikacji (kontakty, SMS, usługi dostępności), a nadmierne żądania traktuj jako sygnał ostrzegawczy;
  • Aktualizacje – włącz automatyczne aktualizacje Androida i aplikacji, instaluj łatki bezpieczeństwa bez zwłoki;
  • Zaufane rozwiązania AV – korzystaj z wiarygodnego antywirusa mobilnego, instalowanego tylko ze Sklepu Google Play;
  • Google Play Protect – upewnij się, że Play Protect jest włączony, by skanować aplikacje przed instalacją i okresowo po niej.

Usuwanie FluBota – procedury dla zainfekowanych urządzeń

FluBot aktywnie utrudnia deinstalację, m.in. cofając użytkownika z ekranu potwierdzenia i wyłączając mechanizmy ochronne. Poniższa sekwencja zwiększa szanse na skuteczne usunięcie zagrożenia:

  1. Uruchom tryb awaryjny (Safe Mode) – w tym trybie startują wyłącznie aplikacje systemowe, a malware jest dezaktywowane;
  2. Przejdź do Ustawienia > Aplikacje i powiadomienia > Wyświetl wszystkie aplikacje, znajdź podejrzaną apkę (np. Voicemail71.apk, Update42.apk, DHL34.apk) i ją odinstaluj;
  3. Jeśli to konieczne, użyj ADB z komputera, aby wymusić usunięcie pakietu;
  4. Jeżeli próby zawodzą lub masz wątpliwości co do integralności systemu, wykonaj przywrócenie ustawień fabrycznych (factory reset);
  5. Po usunięciu zagrożenia zmień wszystkie hasła (bankowość, e-mail, media społecznościowe) z niezainfekowanego urządzenia;
  6. Skontaktuj się z bankiem i usługodawcami finansowymi, aby sprawdzić, czy nie doszło do nieautoryzowanych transakcji oraz aby ewentualnie zastrzec dostęp;
  7. Włącz 2FA dla kluczowych kont – preferuj metody oparte na powiadomieniach push lub aplikacjach TOTP zamiast kodów SMS.

Przykładowe polecenia ADB przydatne w procesie usuwania (wykonuj po włączeniu debugowania USB i podłączeniu urządzenia):

adb devices
adb shell pm list packages | grep voicemail
adb shell pm uninstall -k --user 0 com.zainfekowana.aplikacja

Nie wykonuj kopii zapasowej z zainfekowanego urządzenia – backup może zawierać komponenty malware’u i doprowadzić do ponownej infekcji po przywróceniu.

Przyszłość zagrożenia i potencjalne warianty

Choć główna infrastruktura FluBota została rozbita w maju 2022 roku, operatorzy mogą próbować odbudować C2 lub przenieść się na inne botnety. Inne grupy rozwijają podobne trojany, wykorzystując doświadczenia FluBota.

Model MaaS umacnia się – podobne funkcje i wektory dystrybucji obserwowano w rodzinach takich jak SharkBot, Nexus i ClayRat. Krajobraz mobilnych zagrożeń nieustannie ewoluuje, dlatego czujność i higiena cyfrowa pozostają kluczowe.

Użytkownicy iOS również powinni uważać na kampanie phishingowe – choć sam FluBot nie infekuje iPhone’ów, strony podszywające się pod banki mogą wyłudzać loginy i dane kart.

ZOBACZ:

Podziel się artykułem
przezFilip Luchowski
Redaktor zatoki biznesu
Follow:
Filip Luchowski jest analitykiem finansowym w warszawskim oddziale międzynarodowej firmy doradczej. Ukończył Szkołę Główną Handlową w Warszawie na kierunku Finanse i Rachunkowość, a w ramach programu Erasmus studiował również na University of Amsterdam. Specjalizuje się w modelowaniu finansowym dla sektora nowych technologii, gdzie łączy wiedzę ekonomiczną z pasją do innowacji. Po godzinach wspiera młode start-upy jako mentor w inkubatorze przedsiębiorczości.
Poprzedni Zysk z oszczędności Dlaczego warto mieć rachunek oszczędnościowy?
Następny Czuję się zły, zirytowany, buntowniczym i agresywnym Ceny przesyłek InPost – aktualny cennik Paczkomatów i usług kurierskich
Brak komentarzy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Najnowsze

Portret pięknej szczęśliwej uśmiechniętej kobiety z krótką fryzurą Bizneswoman trzyma pieniądze w ręku Podekscytowana bogata kobieta o blond włosach pokazująca banknoty Kaukaska biznesowa dama ze stosem gotówki
BiznesFinanse

Biznes do 30 tys. zł z dotacji – jak dostać środki z Urzędu Pracy?

11 min. czytania
Program do faktur
Finanse

Jakie funkcje powinien mieć dobry program do faktur z KSeF w 2026 roku? Najlepszy program do fakturowania z KSeF… czyli jaki?

6 min. czytania
laptop
Finanse

Na co zwrócić uwagę przy wyborze konta bankowego?

3 min. czytania
Zbliżenie: biznesowa dama podająca smartfona koledze, aby pokazać mu ważne informacje na ekranie
BiznesFinanse

PekaoBiznes24.pl – nowa aplikacja bankowa i zmiany dla klientów firmowych

12 min. czytania

Możesz również przeczytać

Osoba trzymająca smartfon z ekranem kasy na ekranie.
FinanseSprzedaż

Terminal PKO w telefonie – jak działa aplikacja LikePOS dla firm?

10 min. czytania
person in black suit jacket holding white tablet computer
Finanse

Pośrednictwo finansowe – na czym polega i jak zacząć?

36 min. czytania
brown leather car seat with white leather seat
Finanse

Milioner pomoże finansowo – czy bogaci Ci pomogą?

31 min. czytania
a pile of bitcoins sitting on top of each other
FinanseKryptowaluty

Jak płacić kryptowalutami? Poradnik dla początkujących

32 min. czytania
Czytaj więcej