🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Malware Intelligence

Aviso da Intel sobre ameaças de malware da FluBot

Consultoria de inteligência de ameaças da CloudSEK sobre o malware FluBot Android, que se faz passar por aplicativos bancários móveis para criar uma visualização falsa da web sobre aplicativos direcionados.
Updated on
April 17, 2026
Published on
March 25, 2021
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
Consultivo
Aviso sobre malware
Tipo
Ladrão de credenciais, malware para Android
Nome
Malware FluBot
Indústrias afetadas
Serviços bancáriosUm malware Android recém-descoberto, apelidado de FluBot, se faz passar por aplicativos bancários móveis Android para criar uma visualização falsa da web em aplicativos direcionados. O malware se concentra principalmente no roubo de detalhes de cartão de crédito ou credenciais bancárias on-line, além de dados pessoais.

Execução

O FluBot é distribuído via SMS e pode escutar as notificações recebidas, iniciar chamadas, ler ou escrever SMS e transmitir a lista de contatos da vítima para o centro de controle. Ele infecta dispositivos Android fingindo ser aplicativos FedEx, DHL, Correos e Chrome e força o usuário desavisado a alterar as configurações de acessibilidade do dispositivo para manter a persistência no dispositivo.Ele aproveita telas de login falsas de bancos proeminentes. Depois que o usuário insere seus detalhes de login nessas páginas falsas, os dados são enviados imediatamente para o centro de controle do operador de malware. Que os operadores de malware exploram facilmente. Ele intercepta todas as OTPs relacionadas a bancos substituindo o aplicativo de SMS padrão no dispositivo de destino. Assim, ele recebe as chaves de acesso enviadas via SMS. Além disso, ele envia SMS semelhantes para outros contatos, no dispositivo de destino, para induzi-los a baixar o aplicativo falso.Em um período de 2 meses, a cepa de malware FluBot infectou mais de 60.000 dispositivos. Cerca de 97% de suas vítimas estão localizadas na Espanha. Além disso, tem acesso a números de telefone celular de cerca de 11 milhões de cidadãos espanhóis.

Impacto

Impacto nos negócios
  1. Perda financeira para a organização/indivíduo se suas operações forem interrompidas
  2. Perda da reputação da marca
  3. PII comprometida leva a ataques de engenharia social
Impacto técnico
O malware cria um backdoor que concede acesso ao dispositivo do usuário. Isso permite que o invasor realize operações maliciosas e até mesmo lance outras variantes de malware.

Indicadores de compromisso

   SHA1
  1. 1dd0edc5744d63a731db8c3b42efbd09d91fed78
  2. 325f24e8f5d56db43d6914d9234c08c888cdae50
  3. 479f470e83f9a5b66363fba5547fdfcf727949da
  4. 659cbdf9288137937bb71146b6f722ffcda1c5fe
  5. 6616de799b5105ee2eb83bbe25c7f4433420dff7
  6. a4050a8171b0fa3ae9031e0f8b7272facf04a3aa
  7. affa12cc94578d63a8b178ae19f6601d5c8bb224
  8. c1f530d3c189b9a74dbe02cfeb29f38be8ca41ba
  9. e094dd02cc954b6104791925e0d1880782b046cf
  10. fbf0a76ced2939d1f7ec5f9ea58c5a294207f7fe
    SHA256
  1. 30937927e8891f8c0fd2c7b6be5fbc5a05011c34a7375e91aad384b82b9e6a67
  2. 1eb54ee1328ad5563e0e85a8ecff13cd2e642f5c6fc42e0e1038aeac0ee8cf2f
  3. 2277d20669267bbe9ff8a656258af0a33563c18c45cef3624eab67cf123c29a7
  4. 3bb0dbdb9ec7822dc53af230de0bdb908a558993619ac788c90eeeb5af6a1e14
Domínios ativos do servidor C&C
  1. xjnwqdospderqtk [.] ru
  2. nfiuerwtftasnuk [.] com
Domínios de distribuição de APK
http [:] //2020 [.] techbharat [.] org [.] in/status/ http [:] //amirapache [.] ir/pkg/http [:] //anapa-dive [.] ru/pkge/http [:] //audioquran [.] kz/www/http [:] //Boutique [.] creolegarden [.] com/fedex/http [:] //buguilou [.] com/p/http [:] //canhair [.] net/parcel/http [:] //cloudstrading [.] com/fedex/ http [:] //developer [.] team1global [.] com [.] au/pack/http [:] //ekremakin [.] org/pack/http [:] //elektroprommash [.] ru/pack/http [:] //freeavporn [.] com/fedex/http [:] //grahaksamachar [.] em/p/http [:] //idea-soft [.] it/p/http [:] //imw6 [.] com/pack/ http [:] //imwedsonpassos [.] com [.] br/parcel/http [:] //isabelsantos123 [.] pt/p/ http [:] //itaperunatem [.] com [.] br/pkge/http [:] //lamoraleja [.] com [.] co/status/ http [:] //landing [.] kofacins [.] com/pack/http [:] //ln-lighting [.] com/pkg/http [:] //mimi-mi [.] studio/pkg/http [:] //muaadzawy [.] com/pkg/http [:] //ouyangpengcheng [.] xyz/p/http [:] //palinkapatika [.] com/pack/ http [:] //pescadorsportsgroup [.] com/pkg/http [:] //portalcalamuchita [.] com [.] ar/pack/http [:] //printing-packingshow [.] ir/fedex/http [:] //raku-plus [.] com/pack/http [:] //rpgbundle [.] info/status/http [:] //sailorcrossfitmdp [.] com/fedex/http [:] //skipshopping [.] net/fedex/http [:] //srinterior [.] co [.] in/pkg/http [:] //studiobonazzi [.] eu/fedex/http [:] //telec [.] com [.] pk/pkg/http [:] //teologianaweb [.] com [.] br/pkg/http [:] //valks3d [.] com [.] br/fedex/http [:] //thejoblessemperor [.] in/pkg/http [:] //www [.] export-barazande [.] com/fedex/http [:] //www [.] internetpathshala [.] co/p/http [:] //www [.] larrecantofeliz [.] com [.] br/fedex/http [:] //www [.] old [.] danacadesign [.] com/fedex/http [:] //www [.] payamesavadkooh [.] ir/pack/http [:] //www [.] pudhuveedu [.] em/p/http [:] //www [.] raeloficial [.] com/pkg/http [:] //www [.] recycom [.] gr/pack/http [:] //www [.] zyzlk [.] com/phttp [:] //www [.] old [.] da/http [:] //www [.] zyzlk [.] com/pack/http [:] //wxz14 [.] com/p/http [:] //xref [.] icu [:] 9090/pkg/http [:] //yangbin [.] 100cuo [.] com/pack/http [:] //yulu1953 [.] cn/fedex/https [:] //42sf [.] net/pack/https [:] //84blog [.] xyz/pkg/https [:] //aitao [.] site/pkg/https [:] //alercehistorico [.] cl/pkg/https [:] //amzstudy [.] com/pack/https [:] //partners [.] vn/pack/https [:] //brighterdaysfi [.] com/fedex/https [:] //byalex-photography [.] co [.] uk/pack/https [:] //cbd-and-epilepsia [.] com/pack/https [:] //cbd-and-seizures [.] com/p/https://contornosdesign [.] pt/pkg/https://cssincronbucuresti [.] ro/pkg/https [:] //delhi [.] tie [.] org/p/https [:] //dgeneration [.] em/pack/https [:] //dumeiwu [.] com/p/https [:] //elitekidsbookzone [.] sch [.] ng/pack/https [:] //escuelaargentina [.] cl/p/https [:] //fraternitykerala [.] org/pkg/https [:] //garveylibertyhall [.] com/pack/https [:] //getblogour [.] com/fedex/https [:] //gladiadoresdevendas [.] com [.] br/pack/https [:] //hentaivillage [.] com/parcel/https [:] //illuminaticult [.] org/fedex/https [:] //imrt [.] ac [.] in/pack/https [:] //imrt [.] ac [.] in/pkg/https [:] //industrial-land [.] vn/pack/https [:] //jexchange [.] ga/pack/https [:] //kidimy [.] org/pkg/https [:] //lacasa-dh [.] nl/pack/https [:] //londonroofingpros [.] co [.] uk/fedex/https [:] //machupicchutraveling [.] com/pkg/https [:] //mucc [.] com [.] au/p/https [:] //mvpmsadhyapak [.] em/p/https [:] //nakoblog [.] info/fedex/https [:] //nen [.] vacad [.] net/pkg/https [:] //pic [.] tnell [.] com/pkg/https [:] //rishipes [.] co [.] nz/pack/https [:] //ryansa [.] com/pkg/https [:] //sdlformazione [.] it/p/https [:] //sprintintercom [.] com [.] au/fedex/https [:] //telugufusion [.] com/pkg/https [:] //tuyennvtb [.] com/p/https [:] //twospoonsfleet [.] co [.] uk/p/https [:] //visotka [.] in/pack/https [:] //weboyal [.] com/p/https [:] //www [.] admh [.] em/fedex/https [:] //www [.] agroescape [.] com/pkg/https [:] //www [.] divam [.] ir/pack/https [:] //www [.] nbkangxi [.] com/pack/https [:] //www [.] omvshop [.] com/pkge/https [:] //www [.] spave [.] com [.] pk/p/https [:] //www [.] wwworks [.] com [.] au/p/https [:] //www [.] ylem222 [.] com/p/https://xatziemmanouiltools [.] gr/pkg/https [:] //xn—thvitstore-c7a [.] com/pkg/

Mitigação

  1. Use um software antivírus atualizado que detecte e evite infecções por malware
  2. Aplique patches críticos ao sistema e ao aplicativo
  3. Use senhas fortes e habilite o 2FA nos logins
  4. Verifique os privilégios e permissões atribuídos ao usuário
  5. Facilite a denúncia de comportamentos suspeitos pelos usuários
  6. Faça backup de dados regularmente
  7. Recomendação de plataforma de código aberto para remover o malware:
https://www.xda-developers.com/psa-uninstall-flubot-sms-malware-with-malninstall/
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more