Finnország kiberbiztonsági központja (NCSC-FI) figyelmeztetést adott ki, mivel a FluBot malware-t terjesztők ismét akcióba léptek, és SMS-ek segítségével terjesztett káros linkeken keresztül próbálják megfertőzni a felhasználókat. A Bitdefender saját telemetriai adatai alapján megerősítette a FluBot-aktivitás jelentős megugrását Finnországban az elmúlt napokban.
A finneknek a közelmúltan már meggyűlt a baja a FluBottal, ahogyan a világ számos országának is, köztük Magyarországnak is. Erről korábban a Bitdefender segítségével már készítettünk egy összefoglalót.
A FluBot nevű kártevő egy szofisztikált banki trójai, ami adatok lop a felhasználó készülékéről, és SMS valamint MMS útján terjed. A kampány hasonló az elődeihez: a felhasználók SMS-t vagy MMS-t kapnak, amely hamis hangüzenethez, nem fogadott híváshoz vagy ismeretlen pénzügyi tranzakcióhoz kötődő linket is tartalmaz. Ezt követően, ha valaki megnyitja a linket, akkor egy ál-weboldalra kerül, ahol egy validnak tűnő, ám de káros kóddal fertőzött program letöltésére próbálják rávenni a felhasználókat. Az alkalmazás letöltése közben pedig arra kéri a leendő áldozatokat, hogy különféle engedélyeket adjanak a készüléken. Miközben a felhasználók a validnak hitt alkalmazást telepítik és megadják számára az említett engedélyeket, valójában a FluBot malwaret telepítik a saját eszközükre.
Forrás: kyberturvallisuuskeskus.fi
Az eredetileg banki trójai vírusnak tervezett FluBot lehetővé teszi, hogy a bűnözők hozzáférjenek az áldozat hitelkártya és bejelentkezési adataihoz (valamint hitelesítő adataihoz is). Innen már csak egy rövid lépés az anyagi haszonszerzés. A FluBot sajátossága, hogy nem csak a pénzügyi applikációkat képes letükrözni, lemásolni, hanem az áldozat készülékén található névjegyzékhez is hozzáfér, amelynek segítségével képes lesz a fertőzött linkeket tartalmazó üzeneteket továbbítani a névjegyzékben található személyeknek. Ergo: gyorsan terjed, mint az influenza. Innen kapta a nevét is.
A kampány eddig jellemzően androidos rendszereket támadott, de most az iOS-t használók sem dőlhetnek hátra. Az iOS alapból megakadályozza a harmadik féltől származó alkalmazások telepítését, de a kampány fogadó oldalán lévő iPhone-tulajdonosokat ún. prémium előfizetési és más social engineering típusú csalásokkal próbálják átverni. Szintén egy linken keresztül.
A Bitdefender kiemeli, hogy a mostani kampány rettentően hasonlít ahhoz a kampányhoz, ami húsvét környékén söpört végig Románián, amikor is több ezer Android-felhasználót ért el egy smishing-hullám. A finn iOS-felhasználókhoz hasonlóan a román iPhone-tulajdonosokat is különféle adathalász oldalakra próbálták meg átirányítani a bűnözők.
A FluBot kapcsán fontos kihangsúlyozni, hogy az SMS-ben vagy MMS-ben érkező link egyszerű megnyitása nem telepíti a kártevőt, de ha a felhasználók letöltik és telepítik a programot, majd hozzáférést adnak ahhoz, amit az app kérni fog, akkor a készülék megfertőződik a káros kóddal. Ebben az esetben javasolt a készülékük gyári állapotba történő visszaállítása, majd a fertőzés előtt készített biztonsági biztonsági mentésből visszaállítani a fájlokat.
Mindezek mellett a FluBot-ot és a kapcsolódó csalási kísérleteket leginkább úgy lehet távol tartani a telefonoktól, ha olyan biztonsági megoldást használunk, amely képes blokkolni a mobil-specifikus rosszindulatú szoftvereket. A támadók taktikája idővel mindig változik, és ahhoz sem férhet kétség, hogy az egyes kampányok az idő előrehaladtával egyre szofisztikáltabbá válnak majd, ami elengedhetetlenné teszi, hogy a felhasználók fejlett észlelési mechanizmust alkalmazzanak az eszközeiken.
A Bitdefender Mobile Security az átverési kísérletekről még azelőtt figyelmezteti a felhasználókat, mielőtt még hozzáférhetnének a rosszindulatú tartalomhoz, tehát proaktív védelmet (is) nyújt.