Tisztelt Ügyfelünk!
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) rendkívüli tájékoztatót ad ki a látszólag csomagküldő szolgáltatóktól érkező, kéretlen SMS üzenetek útján terjesztett FluBot kártevővel kapcsolatban.
Az NBSZ NKI további vizsgálatai alapján megállapította – a 2021.03.24-én közzétett riasztáshoz[1]
kapcsolódóan –, hogy a fertőzésben érintett készülékek esetén a FluBot
kártevő folyamatosan figyeli a készülékeken futtatott alkalmazásokat.
Amennyiben a program pénzügyi vagy kriptovalutákhoz kapcsolódó
alkalmazás indítását észleli, abban az esetben az eredeti alkalmazást
„elfedi” (egy ún. overlay technikával), és az eredeti alkalmazás
mellett, egy az eredetihez hasonló adathalász felületet nyit meg, amely
képes a felhasználói (felhasználónév, jelszó) adatok kinyerésére és
továbbítására.
Az eddigi ismeretek szerint a kártevő az alábbi alkalmazások felhasználóit célozza:
- MKB Mobilalkalmazás
- K&H mobilbank
- Budapest Bank Mobill App
- OTP SmartBank
- UniCredit Mobile Application
- George Magyarország
- Kripto tőzsdék, online Kriptotárcák:
- Blockchain Wallet
- Coinbase – Buy& Sell Bitcoin Crypto Wallet
- Binance – Buy& Sell Bitcoin Securely
- Blockchain Wallet
A
malware vizsgálata alapján azonban a fenti lista változhat, ugyanis a
célzott alkalmazások listája nincs előre rögzítve a kártevőben.
Az NBSZ NKI a FluBot fertőzésekkel kapcsolatban az alábbi sorrendben feltüntetett összes lépés megtételét javasolja:
1) „FluBot Malware Uninstall”[2] nevű alkalmazás letöltése a Google Play Áruházból, majd telepítése.
2) A fertőzött készülék Wi-Fi és mobil adatkapcsolatának leállítása.
3) A képernyőn megjelenő utasítások követése.
4) Az utasításokat követve, a rosszindulatú alkalmazás eltávolítása.
5) A képernyőn megjelenő lépések végrehajtásával az alapértelmezett indítóválasztás visszavonása.
6) „FluBot Malware Uninstall” nevű alkalmazás eltávolítása.
Amennyiben a „FluBot Malware Uninstall” nevű alkalmazás segítségével a fertőzés nem szűntethető meg, abban az esetben javasolt:
1) a készüléken tárolt adatokról (pl. fényképek, kontaktok, stb.) biztonsági mentés készítése, majd
2) a készülék gyári beállításokra történő visszaállítása.
Az NBSZ NKI munkatársai a „FluBot Malware Uninstall” nevű alkalmazás működését a következő verziókon tesztelték:
- Android 8.1;
- Android 9.0;
- Android 10.1;
- Android 11.0.
[Tájékoztató letöltése]
Forrás:
https://nki.gov.hu/figyelmeztetesek/tajekoztatas/rendkivuli-tajekoztato-sms-uzenetek-utjan-terjesztett-flubot-kartevovel-kapcsolatban/
Előzmény
Riasztás csomagküldő szolgáltatók nevével visszaélő, káros kód terjesztéssel összefüggő SMS üzenetekkel kapcsolatban
Tisztelt Ügyfelünk!
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki a megnövekedett számú, kéretlen szöveges üzenetek útján terjedő, látszólag csomagküldő szolgáltatóktól érkező, káros hivatkozást tartalmazó SMS üzenetekkel kapcsolatban.
A jelenleg rendelkezésre álló adatok alapján az SMS üzentekben, be nem
fizetett szállítási díj vonatkozásában próbálnak meg pénzt, illetve
adatokat megszerezni, valamint egyes esetekben Android operációs
rendszerű eszközökre veszélyes káros kód letöltést végrehajtatni a felhasználóval.
SMS üzenetek főbb jellemzői
- A csaló üzenetet küldők a legtöbb esetben az SMS törzsében elhelyezett hivatkozás megnyitására igyekeznek rávenni a címzettet, például egy küldemény nyomon követésére hivatkozva.
- Egy ilyen üzenet tartalma: „Megérkezett a csomagja, kovesse nyomon itt: https://(valtozó hivatkozás)” (lásd: 1. ábra)
- Az
eddigi adatok alapján minden esetben magyar mobilszolgáltató
hálózatából érkeztek az üzenetek. Fontos kiemelni, hogy az SMS-ekben
szereplő URL-ek dinamikusan változnak.
A támadás menete
- Amennyiben
az áldozat megnyitja az üzenetben kapott hivatkozást, egy csaló
weboldal jelenik meg, amely sok esetben rendkívül jól utánozza
a megszemélyesített cég valódi bejelentkezési felületét ─ például
logók, színek, tipográfiai jellemzők ─ felhasználásával. A mostani
esetek során legtöbbször a FedEx került megszemélyesítésre
- Ezek a káros oldalak egy alkalmazás telepítésére próbálják rávenni az áldozatot ─ a megtévesztés szerint a csomagküldemény nyomon követéséhez.
- Azonban ha a felhasználó letölti a feltételezett alkalmazást az eszközre, egy adatlopó képességekkel felruházott Trójai vírus kerül telepítésre.
A vírus telepítése után majdnem minden szolgáltatáshoz hozzátudnak
férni, mint például: SMS, MMS írás, küldés, Internet, Bluetooth, NFC,
telefonkönyv stb..
Fertőzés esetén az NBSZ NKI javasolja, hogy az érintett eszközön haladéktalanul végezzenek el egy gyári visszaállítást!
Az NBSZ NKI javaslatai a káros tevékenységet végző SMS üzenetek kezelésével kapcsolatban:
- Soha ne kattintson az üzenetben levő applikáció letöltés hivatkozásra!
- Amennyiben az SMS üzenetben található káros hivatkozás megnyitásra került, haladéktalanul értesítse az intézmény informatikai területét!
- Minden esetben külön keressen rá az adott cég, vagy szervezet hivatalos weboldalára, és ott bejelentkezve ellenőrizze a kapott üzenet valóságtartalmát!
- Incidens bejelentése az NBSZ NKI részére
a csirt@nki.gov.hu e-mail címen vagy az nki.gov.hu weboldalon
keresztül, melyek során a feladó telefonszáma, valamint a szöveges
üzenetben található hivatkozás is kerüljön rögzítésre.
FRISSÍTÉS: 2021.03.24 15:35
Az
SMS kampányhoz kapcsolódó káros kód további vizsgálat során megállapítást nyert, hogy az a Flubot variánsa, amely főként pénzügyi
szolgáltatások/banki adatok megszerzésére specializálódott, a funkciók
alapján képes egyszer használatos jelszó (One-Time-Password / OTP)
adatok ellopására is. Az SMS linkjén található malware képes hozzáférni a
megfertőzött készülék SMS küldési lehetőséghez. Így a bűnözők a csaló
üzenethez hasonló, vagy azzal azonos üzeneteket tudnak küldeni más
hívószámokra. A fertőzött készülék kimenő üzenetei között ugyanakkor nem
látható az alkalmazás által elküldött SMS.
Letöltés: Riasztás_0324_SMS_Káros-tevékenység.pdf
Forrás:
https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-csomagkuldo-szolgaltatok-nevevel-visszaelo-malware-terjesztessel-osszefuggo-sms-uzenetekkel-kapcsolatban/
Kapcsolódó hírek:
Hello Biztonság - a Nemzeti Bűnmegelőzési Tanács online játéka gyerekeknek
ÜPO: ügyintézés a NAV új online felületén
Mobiltelefonos emlőshatározót készítettek magyar természetvédők
Gyermekek Világnapja: új verzióval jelentkezik az UNICEF Magyarország gyermekbántalmazás elleni applikációja