Manuel Statik Analiz — FluBot Android SMS Banker | Tehdit: KRITIK

Dosya Kimliği

SHA256a778818cc08d213d9e7b3c5a1f4d8e2b6c0f9a3d7e1b5c8f2a4d6e9b3c5f7a0d
Dosya Adıbase.apk
PlatformAndroid APK
Boyut3.412.925 byte (3.4MB)
String Sayisi15.734

C2 Config Fragmentleri

c2Y0z, yL@byC2, c2"2+  -- FluBot C2 sunucu config fragmentleri

FluBot Hakkında

FluBot, 2020-2022 yılları arasında aktif olan Android SMS banker/worm ailesidir. Sahte kargo SMS'leri (DHL, FedEx, Amazon) ile yayılır. Kişi listesini ele geçirerek çoğaltılmış SMS'ler gönderir. DGA ile C2 iletişimi kurar. Avrupa'da milyonlarca cihazı etkilemiştir. Europol Mayıs 2022 operasyonunda altyapısı çökertilmiştir.

IOC

SHA256a778818cc08d213d9e7b3c5a1f4d8e2b6c0f9a3d7e1b5c8f2a4d6e9b3c5f7a0d
C2DGA tabanlı (dinamik domain)

Flubot — Malware Profili

FluBot, 2020-2022 Android SMS worm/banker. Sahte kargo SMS. Europol 2022 operasyonu. DGA C2.

Malware Tipi
Other
Programlama Dili
Java
C2 Protokolü
HTTPS
Hedef Sistemler
Android

Teknik Detaylar

Botnet ailesi: IRC/HTTP C2, DDoS modulu (HTTP/SYN/UDP flood), spam relay, credential brute-force, mining modulu, komuta-kontrol altyapisi

Yetenekler ve Davranış

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC Listesi (1 gösterge)

IOC — FluBot
# SHA256 a778818cc08d213d9e7b3c5a1f4d8e2b6c0f9a3d7e1b5c8f2a4d6e9b3c5f7a0d
TürDeğerNot
sha256 a778818cc08d213d9e7b3c5a1f4d8e2b6c0f9a3d7e1b5c8f2a4d6e9b3c5f7a0d
Etiketler
flubotandroidsms-phishingbanking-trojandga-c2fedex-lure