FluBot was een Android-smartphone botnet (spyware) in 2020-2022. Het verspreidde zich via SMS-phishingberichten (“smishing”).

Telefoongebruikers kregen een sms zogenaamd van een pakketbezorger of met een voicemailmelding, met een link naar een app-download. Deze malware verkreeg vervolgens uitgebreide toegangsrechten en kon bijna alles op de telefoon bespioneren: van inloggegevens tot sms-berichten (politie.nl en Europol). Het las de contactenlijst van de telefoon uit en stuurde naar al die personen zelf ook weer smishing-sms’jes.

FluBot stal inloggegevens voor bankapps, crypto-wallets en andere gevoelige info, wat tot diefstal en fraude kon leiden bij slachtoffers. Op 31 mei 2022 heeft de Nederlandse politie (cybercrimeteam Oost-Nederland), in samenwerking met 10 andere landen en Europol, een einde gemaakt aan de FluBot-infrastructuur.

Europol sprak in 2022 van “een van de snelste mobiele malware ooit gezien”.

Bron: europol.europa.eu

Opsporing en aanpak

Het FluBot-netwerk bestond uit een reeks command & control servers die de malware op geïnfecteerde telefoons aanstuurden. De Nederlandse politie is erin geslaagd om in mei 2022 deze infrastructuur te verstoren en over te nemen. Details daarover zijn niet duidelijk.

Volgens een niet langer beschikbaar politiebericht van 1 juni 2022 zijn vervolgens ruim 10.000 telefoons die destijds besmet waren, losgekoppeld van het FluBot-netwerk (de malware kon niet langer communiceren). Daarnaast wist men te voorkomen dat er nog eens 6,5 miljoen frauduleuze sms’jes vanuit die besmette apparaten werden verzonden.

Arrestaties en jurisprudentie

De operatie zonder arrestaties is verlopen. De identiteit van de FluBot-beheerders was destijds nog onbekend. De internationale politie-coördinatie liep via Europol’s EC3 en de J-CAT, dat een “virtueel coördinatiecentrum” (?) opzette tijdens de actie.

Na de actie werd via Europol en nationale voorlichting breed gecommuniceerd hoe mensen hun besmette telefoon kunnen herkennen en opschonen (d.w.z. resetten naar de fabrieksinstellingen).