De infrastructuur van malwarevorm FluBot is platgelegd door het cybercrimeteam van de politie in Oost-Nederland.

Het cybercrimeteam verwijderde 10.000 slachtoffers uit het netwerk van FluBot. De malware wordt sinds 2020 via sms’jes verspreid in meerdere landen, waaronder Nederland. Door de infrastructuur plat te leggen wist de politie 6,5 miljoen sms’jes te voorkomen.

De operatie werd voorbereid in samenwerking met Europol en veiligheidsdiensten in elf landen. Voor zover we weten zijn de verspreiders en ontwikkelaars van FluBot niet gevonden. De politie stelt dat de malwarevorm niet meer verspreid kan worden, maar verduidelijkt niet hoe het netwerk is platgelegd.

Soms wordt cybercriminaliteit aangepakt door fysieke servers in beslag te nemen, zoals tijdens de arrestatie van REvil in Rusland en Hydra Market in Duitsland. In het geval van FluBot lijkt het erop dat de operatie digitaal plaatsvond. “Europol zette op de dag van de takedown een virtuele commandopost op om te zorgen dat alle autoriteiten naadloos samenwerkten”, deelde een woordvoerder van Europol.

FluBot

De verspreiders van FluBot versturen sinds 2020 sms’jes naar Android-gebruikers. Gebruikers worden via de sms’jes verzocht om een app te downloaden voor het volgen van een pakket of het afluisteren van een voicemail.

In de sms staat een link. De link verwijst naar een directe downloadpagina voor de applicatie van FluBot. Na een installatie vraagt de applicatie toestemming voor ‘Toegankelijkheidsinstellingen’ (Accessibility). Slachtoffers gaan akkoord, waarna de applicatie meekijkt met inloggegevens en de informatie doorstuurt naar een server op afstand.

Onderaan de streep krijgen cybercriminelen toegang tot digitale bankrekeningen, crypto wallets en andere gevoelige systemen. De meeste slachtoffers hebben niet door dat hun apparaat is geïnfecteerd. Europol en de politie adviseren om een apparaat bij twijfel terug te zetten naar de fabrieksinstellingen. Dat is de meest betrouwbare manier om de malware te verwijderen.

Acessibility API

FluBot gebruikt de Accessibility API van Google om toestemming te vragen voor ‘Toegankelijkheidsinstellingen’. Geeft een gebruiker toestemming, dan kan de applicatie onderdelen van een device bedienen.

Google ontwierp de functie voor mensen met een beperking. Is een gebruiker zelf niet in staat om de instellingen van een telefoon te wijzigen, dan kan een applicatie toestemming vragen om het werk over te nemen.

De functie is goedbedoeld, maar geliefd onder malwareontwikkelaars. Zij misbruiken de functie om te zorgen dat apps niet verwijderd kunnen worden. Google is op de hoogte van het probleem. De Accessibility API wordt op 1 november 2022 aangepast om misbruik tegen te gaan.

Politie tegen cybercrime

Het cybercrimeteam van de politie in Oost-Nederland speelde een hoofdrol in de aanpak van FluBot. De Nederlandse politie werkt met tien cybercrimeteams, een voor elke regio. De teams focussen jaarrond op onderzoek naar cybercriminaliteit.

De Rotterdamse divisie droeg onlangs bij aan de arrestatie van de twee personen die worden verdacht van betrokkenheid bij een internationale phishing-group. Eerder hielp het Limburgse team bij de arrestatie van verdachte helpdeskfraudeurs.