# FluBot > Tipo: **banking trojan (Android)** · [MITRE ATT&CK Mobile](https://attack.mitre.org/software/) ## Descrição [[s0666-flubot|FluBot]] é um banking trojan para Android que se propagou em escala massiva na Europa e na América Latina entre dezembro de 2020 e junho de 2022, quando a Europol coordenou uma operação internacional que desmantelou a infraestrutura do malware. Também conhecido como Cabassous, o FluBot utilizava como principal vetor de distribuição o "smishing" - SMS fraudulentos se passando por notificações de entrega de pacotes de transportadoras conhecidas (DHL, FedEx, Correos), induzindo a vítima a instalar um APK malicioso fora da Play Store. Após instalação, o [[s0666-flubot|FluBot]] solicitava permissões de Accessibility Service do Android - que, uma vez concedidas, permitiam acesso completo à tela e interação autônoma com qualquer aplicativo. Com essas permissões, o trojan interceptava SMS (incluindo tokens 2FA), sobreponha telas falsas sobre aplicativos bancários legítimos (overlay attack), roubava credenciais de apps de e-mail, redes sociais e criptomoedas, e usava a lista de contatos da vítima para enviar novos SMS maliciosos - criando um modelo de propagação viral. O malware implementava algoritmo de geração de domínios (DGA) para localizar servidores C2, dificultando bloqueios baseados em listas negras estáticas. A escala do [[s0666-flubot|FluBot]] foi notável: em seu pico em 2021, foram registrados mais de 7.000 dispositivos infectados por hora na Espanha, e campanhas ativas foram documentadas em mais de 15 países, incluindo Brasil, México e Argentina. A operação de takedown em maio de 2022 resultou na apreensão de servidores na Holanda e prisões em países europeus. Apesar da desativação, as TTPs do FluBot continuam sendo referência para análise de ameaças móveis na América Latina. **Plataformas:** Android ## Técnicas Utilizadas - [[t1437-001-web-protocols|T1437.001 - Web Protocols]] - [[t1636-004-sms-messages|T1636.004 - SMS Messages]] - [[t1430-location-tracking|T1430 - Location Tracking]] - [[t1417-001-keylogging|T1417.001 - Keylogging]] - [[t1412-capture-sms-messages|T1412 - Capture SMS Messages]] - [[t1406-obfuscated-files-or-information|T1406 - Obfuscated Files or Information]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar instalações de APKs fora da Play Store (sideloading) em dispositivos corporativos via MDM > - Alertar sobre solicitações de permissão de Accessibility Service por aplicativos não-corporativos > - Detectar padrões DGA em consultas DNS de dispositivos móveis > - Implementar soluções MTD (Mobile Threat Defense) que detectam overlays maliciosos > - Monitorar uso anômalo de APIs de SMS em aplicativos instalados por sideloading ## Relevância LATAM/Brasil O [[s0666-flubot|FluBot]] teve presença documentada no Brasil e na América Latina, com campanhas adaptadas ao contexto local utilizando nomes de transportadoras brasileiras (Correios, JádLog, Total Express) e portais de e-commerce regionais. O Brasil, com sua enorme base de usuários Android (>90% de market share), alta penetração de mobile banking e cultura de cliques em links de SMS para rastreamento de pacotes, representa um vetor de propagação ideal para este tipo de ameaça. Sucessores do FluBot como Medusa, Xenomorph e Sharkbot continuam ativos com TTPs similares, tornando o entendimento deste malware essencial para equipes de segurança de instituições financeiras brasileiras. ## Referências - [Europol - FluBot Takedown 2022](https://www.europol.europa.eu/media-press/newsroom/news/take-down-of-flubot-infrastructure) - [CERT.br - Alertas de smishing](https://www.cert.br/)