Internet: Rendkívüli tájékoztató SMS üzenetek útján terjesztett FluBot kártevővel kapcsolatban

Szeretettel köszöntelek a NetPolgár - Digitális Irástudó klub közösségi oldalán!

Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, blogolhatsz, stb.

Ezt találod a közösségünkben:

  • Tagok - 1045 fő
  • Képek - 4134 db
  • Videók - 1204 db
  • Blogbejegyzések - 1346 db
  • Fórumtémák - 88 db
  • Linkek - 585 db

Üdvözlettel,
M Imre
NetPolgár - Digitális Irástudó klub vezetője

Amennyiben már tag vagy a Networkön, lépj be itt:

Szeretettel köszöntelek a NetPolgár - Digitális Irástudó klub közösségi oldalán!

Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, blogolhatsz, stb.

Ezt találod a közösségünkben:

  • Tagok - 1045 fő
  • Képek - 4134 db
  • Videók - 1204 db
  • Blogbejegyzések - 1346 db
  • Fórumtémák - 88 db
  • Linkek - 585 db

Üdvözlettel,
M Imre
NetPolgár - Digitális Irástudó klub vezetője

Amennyiben már tag vagy a Networkön, lépj be itt:

Szeretettel köszöntelek a NetPolgár - Digitális Irástudó klub közösségi oldalán!

Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, blogolhatsz, stb.

Ezt találod a közösségünkben:

  • Tagok - 1045 fő
  • Képek - 4134 db
  • Videók - 1204 db
  • Blogbejegyzések - 1346 db
  • Fórumtémák - 88 db
  • Linkek - 585 db

Üdvözlettel,
M Imre
NetPolgár - Digitális Irástudó klub vezetője

Amennyiben már tag vagy a Networkön, lépj be itt:

Szeretettel köszöntelek a NetPolgár - Digitális Irástudó klub közösségi oldalán!

Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, blogolhatsz, stb.

Ezt találod a közösségünkben:

  • Tagok - 1045 fő
  • Képek - 4134 db
  • Videók - 1204 db
  • Blogbejegyzések - 1346 db
  • Fórumtémák - 88 db
  • Linkek - 585 db

Üdvözlettel,
M Imre
NetPolgár - Digitális Irástudó klub vezetője

Amennyiben már tag vagy a Networkön, lépj be itt:

Kis türelmet...

Bejelentkezés

 

Add meg az e-mail címed, amellyel regisztráltál. Erre a címre megírjuk, hogy hogyan tudsz új jelszót megadni. Ha nem tudod, hogy melyik címedről regisztráltál, írj nekünk: ugyfelszolgalat@network.hu

 

A jelszavadat elküldtük a megadott email címre.

Tisztelt Ügyfelünk!


A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) rendkívüli tájékoztatót ad ki a látszólag csomagküldő szolgáltatóktól érkező, kéretlen SMS üzenetek útján terjesztett FluBot kártevővel kapcsolatban.

 

Az NBSZ NKI további vizsgálatai alapján megállapította – a 2021.03.24-én közzétett riasztáshoz[1] kapcsolódóan –, hogy a fertőzésben érintett készülékek esetén a FluBot kártevő folyamatosan figyeli a készülékeken futtatott alkalmazásokat. Amennyiben a program pénzügyi vagy kriptovalutákhoz kapcsolódó alkalmazás indítását észleli, abban az esetben az eredeti alkalmazást „elfedi” (egy ún. overlay technikával), és az eredeti alkalmazás mellett, egy az eredetihez hasonló adathalász felületet nyit meg, amely képes a felhasználói (felhasználónév, jelszó) adatok kinyerésére és továbbítására.


Az eddigi ismeretek szerint a kártevő az alábbi alkalmazások felhasználóit célozza:


  • MKB Mobilalkalmazás
  • K&H mobilbank
  • Budapest Bank Mobill App
  • OTP SmartBank
  • UniCredit Mobile Application
  • George Magyarország
  • Kripto tőzsdék, online Kriptotárcák:
  • Blockchain Wallet
  • Coinbase – Buy& Sell Bitcoin Crypto Wallet
  • Binance – Buy& Sell Bitcoin Securely
  • Blockchain Wallet

 

A malware vizsgálata alapján azonban a fenti lista változhat, ugyanis a célzott alkalmazások listája nincs előre rögzítve a kártevőben.

Az NBSZ NKI a FluBot fertőzésekkel kapcsolatban az alábbi sorrendben feltüntetett összes lépés megtételét javasolja:


1) „FluBot Malware Uninstall[2] nevű alkalmazás letöltése a Google Play Áruházból, majd telepítése.
2) A fertőzött készülék Wi-Fi és mobil adatkapcsolatának leállítása.
3) A képernyőn megjelenő utasítások követése.
4) Az utasításokat követve, a rosszindulatú alkalmazás eltávolítása.
5) A képernyőn megjelenő lépések végrehajtásával az alapértelmezett indítóválasztás visszavonása.
6) „FluBot Malware Uninstall” nevű alkalmazás eltávolítása.


Amennyiben a „FluBot Malware Uninstall” nevű alkalmazás segítségével a fertőzés nem szűntethető meg, abban az esetben javasolt:


1) a készüléken tárolt adatokról (pl. fényképek, kontaktok, stb.) biztonsági mentés készítése, majd
2) a készülék gyári beállításokra történő visszaállítása.


Az NBSZ NKI munkatársai a „FluBot Malware Uninstall” nevű alkalmazás működését a következő verziókon tesztelték:


  • Android 8.1;
  • Android 9.0;
  • Android 10.1;
  • Android 11.0.


[Tájékoztató letöltése]


Forrás:

https://nki.gov.hu/figyelmeztetesek/tajekoztatas/rendkivuli-tajekoztato-sms-uzenetek-utjan-terjesztett-flubot-kartevovel-kapcsolatban/

 


Előzmény


Riasztás csomagküldő szolgáltatók nevével visszaélő, káros kód terjesztéssel összefüggő SMS üzenetekkel kapcsolatban


Tisztelt Ügyfelünk!

 

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki a megnövekedett számú, kéretlen szöveges üzenetek útján terjedő, látszólag csomagküldő szolgáltatóktól érkező, káros hivatkozást tartalmazó SMS üzenetekkel kapcsolatban. A jelenleg rendelkezésre álló adatok alapján az SMS üzentekben, be nem fizetett szállítási díj vonatkozásában próbálnak meg pénzt, illetve adatokat megszerezni, valamint egyes esetekben Android operációs rendszerű eszközökre veszélyes káros kód letöltést végrehajtatni a felhasználóval.

SMS üzenetek főbb jellemzői

  • A csaló üzenetet küldők a legtöbb esetben az SMS törzsében elhelyezett hivatkozás megnyitására igyekeznek rávenni a címzettet, például egy küldemény nyomon követésére hivatkozva.
  • Egy ilyen üzenet tartalma: „Megérkezett a csomagja, kovesse nyomon itt: https://(valtozó hivatkozás)” (lásd: 1. ábra)
  • Az eddigi adatok alapján minden esetben magyar mobilszolgáltató hálózatából érkeztek az üzenetek. Fontos kiemelni, hogy az SMS-ekben szereplő URL-ek dinamikusan változnak.

A támadás menete

  • Amennyiben az áldozat megnyitja az üzenetben kapott hivatkozást, egy csaló weboldal jelenik meg, amely sok esetben rendkívül jól utánozza a megszemélyesített cég valódi bejelentkezési felületét ─ például logók, színek, tipográfiai jellemzők ─ felhasználásával. A mostani esetek során legtöbbször a FedEx került megszemélyesítésre
  • Ezek a káros oldalak egy alkalmazás telepítésére próbálják rávenni az áldozatot ─ a megtévesztés szerint a csomagküldemény nyomon követéséhez.
  • Azonban ha a felhasználó letölti a feltételezett alkalmazást az eszközre, egy adatlopó képességekkel felruházott Trójai vírus kerül telepítésre. A vírus telepítése után majdnem minden szolgáltatáshoz hozzátudnak férni, mint például: SMS, MMS írás, küldés, Internet, Bluetooth, NFC, telefonkönyv stb..

 

Fertőzés esetén az NBSZ NKI javasolja, hogy az érintett eszközön haladéktalanul végezzenek el egy gyári visszaállítást!


Az NBSZ NKI javaslatai a káros tevékenységet végző SMS üzenetek kezelésével kapcsolatban:

  • Soha ne kattintson az üzenetben levő applikáció letöltés hivatkozásra!
  • Amennyiben az SMS üzenetben található káros hivatkozás megnyitásra került, haladéktalanul értesítse az intézmény informatikai területét!
  • Minden esetben külön keressen rá az adott cég, vagy szervezet hivatalos weboldalára, és ott bejelentkezve ellenőrizze a kapott üzenet valóságtartalmát!
  • Incidens bejelentése az NBSZ NKI részére a csirt@nki.gov.hu e-mail címen vagy az nki.gov.hu weboldalon keresztül, melyek során a feladó telefonszáma, valamint a szöveges üzenetben található hivatkozás is kerüljön rögzítésre.

 

FRISSÍTÉS: 2021.03.24 15:35

Az SMS kampányhoz kapcsolódó káros kód további vizsgálat során megállapítást nyert, hogy az a Flubot variánsa, amely főként pénzügyi szolgáltatások/banki adatok megszerzésére specializálódott, a funkciók alapján képes egyszer használatos jelszó (One-Time-Password / OTP) adatok ellopására is. Az SMS linkjén található malware képes hozzáférni a megfertőzött készülék SMS küldési lehetőséghez. Így a bűnözők a csaló üzenethez hasonló, vagy azzal azonos üzeneteket tudnak küldeni más hívószámokra. A fertőzött készülék kimenő üzenetei között ugyanakkor nem látható az alkalmazás által elküldött SMS.

 

Letöltés: Riasztás_0324_SMS_Káros-tevékenység.pdf

 

Forrás:

https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-csomagkuldo-szolgaltatok-nevevel-visszaelo-malware-terjesztessel-osszefuggo-sms-uzenetekkel-kapcsolatban/

Címkék: android apk flubot kártevő flubot malware uninstall malware nemzeti kibervédelmi intézet sms üzenet trójai átverés

 

Kommentáld!

Ez egy válasz üzenetére.

mégsem

Hozzászólások

M Imre üzente 1 hete

Eltűnt a Google Play Áruházból az az applikáció, melyet kifejezetten a FluBot nevű, SMS-ben terjedő androidos malware eltávolításához fejlesztettek, ezzel jelentősen körülményesebben lehet csak megszabadulni a hazánkban múlt hét eleje óta terjedő kártevőtől fertőződés esetén. Az applikáció eltűnését követően a Nemzetbiztonsági Szakszolgálathoz tartozó Nemzeti Kibervédelmi Intézet vizsgálja az alternatív eltávolítási lehetőségeket.

A Twitterre hétfőn került üzenetek tanúsága szerint az applikációt maga a fejlesztő távolította el a Google alkalmazás-piacteréről, mivel az fals biztonságérzetet adhat a felhasználóknak. Ennek oka az applikáció készítőjének tweetjei alapján feltételezhetően az, hogy

-- az újabb verziók kiadása - a Google jóváhagyási protokollja miatt - nem elég gyors ahhoz, hogy az újabb FluBot-mutációk ellen hatékony védelmet nyújtson.

-- I am concerned that the application gives a false sense of security to its users, because of being unable to keep Play Store's release updated at the same pace as the malware updates. Thus why, unless further updates, it's not encouraged to use it. https://t.co/SwDR8guzH7
— linuxct (@linuxct) March 29, 2021

https://www.hwsw.hu/hirek/63091/flubot-malware-uninstall-google-play-store-app-sms.html

A GitHubos verzió láthatóan nem folytatódik:
https://github.com/linuxct/malninstall

HÍr: https://linuxct.github.io/remove/

Hozzászólások:

Hogyan szedjük le app nélkül:
https://streamable.com/528ozx
(Android 7-11-ig biztos megy, azelőtt nincs split screen :))

-----

Azért repült (kapcsolta le a szerző) mert nem frissült időben, a kibervédelmünk meg ezt reklámozta. 27-én én küldtem a srácnak egy bugreportot, hogy a magyar változatot még mindig nem ismeri fel mert benézett egy jogosultságot. Még aznap ki is javította de a playen még mindig a 23-i verzió volt (amiben nem volt a com.taobao.taobao nevű magyar variáns). Szerintem itt az hibázott aki úgy hirdette a megoldást, hogy előtte arra se vette a fáradságot, hogy letesztelje működik-e.

-----

Ha megnézed a GitHubot ( https://github.com/linuxct/malninstall/releases/tag/202103272 ) 26-án került bele a magyar variáns , másnap jeleztem a fejlesztőnek, hogy kimaradt a permission így nem találja meg az app, ezt javította is 27-én, de a play storeból viszont még a 22-i verzió volt letölthető, úgyhogy nem (mert abban nem volt benne a magyar variáns csomag neve így esélye se volt, hogy megtalálja)

-----

Az NKI eleg alaposan es reszletesen kiprobalta, amikor ajanlotta (es en is) - ami az akkori verzioknal tokeletesen mukodott is. Viszont a Flubotot folyamatosan moddoljak, ez olyannyira igaz, hogy linuxct azert vette le a store-bol, mert a 3.8-as flubot mar konkretan fel van keszitve az alkalmazasara, figyeli, keresi az alkalmazasat es hat nem jo dolgok tortennek. Egyebkent a 3.8-as Flubot kodban a malware fejlesztok egy kedves uzenetet is hagytak linuxct reszere - szoval majer a sztori. Egyebkent csinalt masik uninstallert, de sajnos az eleg fapados, konkretan az adott verziora valo apk-t kell telepiteni a neutralizalashoz. Egyre jobban es gyorsabban valtozik a malware, szoval nem konnyu feladat.

Válasz

M Imre üzente 1 hete

A Retro Rádió reggeli Bochkor műsorában téma volt a megtévesztő csomagérkezős SMS-es csalás. Mint most is a csapat szépen végigvette a probléma több aspektusát. Ez a reggeli műsorokban egy nagyon jó tendencia és ezért is örültem, hogy volt lehetőségem beszélgetni velük kicsit hosszabban.
https://www.facebook.com/arthur.keleti/posts/10217718101176014
-- Keleti Arthur

Válasz

Ez történt a közösségben:

M Imre 2 órája új videót töltött fel:

M Imre írta 8 órája a(z) Mi a véleményed a klub tartalmáról? fórumtémában:

Vágtázó Csodaszarvas - Orczy Jézus Géza - R.I.P....

M Imre írta 10 órája a(z) Mi a véleményed a klub tartalmáról? fórumtémában:

Július 1-jén az unióban megszűnik az unión kívülről ...

M Imre írta 21 órája a(z) Mi a véleményed a klub tartalmáról? fórumtémában:

80 éves korában elhunyt Szomjas György Szomjas ...

M Imre írta 1 napja a(z) Mi a véleményed a klub tartalmáról? fórumtémában:

Magyarázatot adott a Facebook az adatszivárgásra, nehéz ...

M Imre írta 2 napja a(z) Mi a véleményed a klub tartalmáról? fórumtémában:

50 éve alakult meg az LGT: https://hu.wikipedia....

M Imre új eseményt adott az eseménynaptárhoz: Nem megyünk suliba április 19-től! | 2021. április 19., 8:00 2021.04.19. 8:00

M Imre írta 2 napja a(z) Közösségi tudástár koronavírus idejére blogbejegyzéshez:

Rendkívüli közleményt adott ki a Magyar Orvosi Kamara | 2021. ...

M Imre írta 2 napja a(z) Társalgó fórumtémában:

Eltelt egy hónap ..., két hét. Változott valami? Szlávik...

Szólj hozzá te is!

Impresszum
Network.hu Kft.

E-mail: ugyfelszolgalat@network.hu