Descubierto por primera vez en diciembre de 2020, FluBot ganó fuerza en 2021 y comprometió una gran cantidad de dispositivos en todo el mundo, incluidos incidentes significativos en España y Finlandia.
El malware se instaló a través de mensajes de texto que pedían a los usuarios de Android que hicieran clic en un enlace e instalaran una aplicación para rastrear la entrega de un paquete o escuchar un mensaje de correo de voz falso. Una vez instalada, la aplicación maliciosa, que en realidad era FluBot, solicitaría permisos de accesibilidad. Luego, los piratas informáticos usarían este acceso para robar credenciales de aplicaciones bancarias o detalles de cuentas de criptomonedas y deshabilitar los mecanismos de seguridad integrados.
Esta cepa de malware pudo propagarse como un reguero de pólvora debido a su capacidad para acceder a los contactos de un teléfono inteligente infectado. Los mensajes que contenían enlaces al malware FluBot se enviaban a estos números, lo que ayudaba a propagar el malware aún más.
Según el informe de panorama de amenazas móviles de ThreatFabric para el primer semestre de 2022, FluBot fue el segundo troyano bancario más activo detrás de Hydra, representando el 20,9 % de las muestras observadas entre enero y mayo pero...
En una operación policial internacional que involucró a 11 países culminó con el desmantelamiento de esta amenaza, y esto se pudo realizar gracias a las autoridades de Australia, Bélgica, Finlandia, Hungría, Irlanda, Rumania, España, Suecia, Suiza, los Países Bajos y los EE. UU las cuales colaboraron mutuamente.
Los Investigadores dijeron que esta fue una gran victoria teniendo en cuenta que los actores de amenazas de FluBot tienen o tuvieron una de las estrategias más resistentes en lo que respecta a la distribución y el alojamiento de sus backends con DNS-tunneling a través de servicios públicos DNS-over-HTTPS . Esta resiliencia de back-end en C2 hosting y fronting es lo que hace que los esfuerzos de la unidad de crimen digital holandesa sean muy impresionantes.
