概述 载荷投递 伪装方式 样本分析 运行流程 恶意功能 指令控制 版本差异 影响范围 总结 概述 3月初，西班牙加泰罗尼亚警方破获一起网络金融诈骗案，作案团伙通过Android恶意软件盗取了1100万用户的电话号码，约占西班牙人口的25％，目前四名犯罪嫌疑人已被警方逮捕。该团伙通过名为“FluBot”的Android恶意软件，发送带有恶意软件下载链接短信的方式，发送至少71,000条垃圾短信，感染60,000台设备，其中97％受害用户是西班牙公民。360烽火实验室追踪发现，尽管犯罪嫌疑人已经被逮捕归案，但“FluBot”恶意软件仍在继续运营，我们发现最新版本已经更新到3.7。 “FluBot”最早于2020年底曝光，属于银行木马家族。在功能上“FluBot”可以在合法应用程序顶部显示伪造的登录屏幕，以从设备所有者那里收集电子银行凭证和信用卡详细信息；在技术上“FluBot”采用了多种代码保护手段给分析和检测带来困难，其使用DGA算法建立僵尸网络，随机生成C&C隐藏了真实C&C地址。在传播方面，“FluBot”具有短信蠕虫机制，将包含恶意软件下载链接的短信群发给受害者的联系人列表。而链接背后托管这些恶意软件的站点都是一些被入侵的合法网站，从而使得传播更加顺畅。 载荷投递 “FluBot”通过向受害者发送含有恶意软件下载链接的短信诱导受害者者下载安装，短信内容通常是与仿冒应用相关的内容。托管这些恶意软件的站点都是一些被入侵的合法网站，无形中增加了受害者的识别难度，从而使得传播过程更加顺畅。下图为部分受害者在社交平台上展示的他们收到的带有钓鱼链接的短信内容。 图1：带有钓鱼链接的短信 伪装方式 “FluBot”伪装的应用名称主要以运输物流类应用为主要仿冒对象，另外还发现这些伪装的应用的包名集中在com.tencent.mm和com.tencent.mobileqq，而这俩款包名软...