Marjai János / 24.hu
Tech

Ezt kell tudni a vírusról, ami a csomagos SMS-ekkel terjed

A napokban hazánkban is tömegeknek érkezett olyan gyanús SMS, ami csomagküldemény érkezéséről szól. Az üzenetben elhelyezett linken egy alkalmazás letöltésére próbálják rávenni a címzettet, ami a nemrég azonosított FluBot nevű, rendkívül makacs kártevőt juttatja az androidos telefonokra. A FluBot először Spanyolországban terjedt szét, majd Lengyelországban és Magyarországon is megjelentek az üzenetek. Mivel a kártevőt nem lehet egyszerűen csak eltávolítani, tanácsot is adunk, mit tegyen, ha mégis letöltötte volna az alkalmazást.

Március 23-án este számoltunk be arról, hogy Magyarországon egyre többen kapnak gyanús üzenetet arról, hogy csomagjuk érkezett. Aznap a rendőrség is közölte, hogy az elmúlt napokban több lakossági bejelentés érkezett olyan SMS-ekről, amikben a címzettet egy csomagküldemény érkezésére emlékeztetik, és azt kérik, töltse le adott szállítmányozó cég alkalmazását a küldemény nyomonkövetése érdekében. A felület ráadásul ügyesen másolja a szállítócégek oldalait: jellemzően a FedEx, vagy a DHL csomagküldő-szolgálat arculati elemeivel ellátott weboldal jelenik meg, amelyen egy alkalmazás letöltésére nyílik lehetőség –

ebben rejtőzik a kártevő.

Szerdán a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NBSZ NKI) riasztást adott ki a csaló SMS-ek megnövekedett száma miatt. Mindez indokolt: a szokottnál veszélyesebb és gyorsabban szétterjedő vírusról van szó.

A rendőrség csütörtökön közölte, hogy a KR NNI Kiberbűnözés Elleni Főosztály munkatársai megkezdték a hazánkban terjedő malware forráskódjának vizsgálatát, továbbá széleskörű nemzetközi adatgyűjtésbe kezdtek a program tevékenységével kapcsolatban. Bűnügyi együttműködés keretében a kibernyomozók több külföldi társszervvel, köztük az Europollal és a spanyol hatóságokkal is felvették a kapcsolatot az elkövetői kör felderítése és azonosítása érdekében.

A spanyoloknál tarolt először

A Nemzeti Kibervédelmi Intézet szerdai közleménye azóta új információkkal frissült: a kártevő a Flubot nevű malware egyik variánsa, amit főként pénzügyi szolgáltatások/banki adatok megszerzésére készítettek.

A külföldi techportálok március 5-én kezdtek el írni arról, hogy egy masszív támadáshullám söpör végig Spanyolországon, méghozzá a szóbanforgó FluBottal. Biztonsági szakértők szerint az androidos kártevő több mint 60 ezer eszközt fertőzött meg mindössze két hónap alatt, az áldozatok 97 százaléka spanyol felhasználó volt.

A FluBot a spanyol lakosság negyedét érintette, és több mint 11 millió telefonszámot sikerült begyűjteni vele.

A szakértők szerint a támadók a biztonsági szempontból hiányosabb mobilbankolós infrastruktúra miatt szemelhették ki Spanyolországot, mivel így nagyobb esélyük van pénzt lopni, illetve az is előnyös, hogy egyszerre egy országra tudtak összpontosítani. Később Törökországban és Lengyelországban is detektáltak támadásokat.

A FluBotot (vagy Cabassoust) először a ThreatFabric biztonsági cég azonosította, működéséről pedig a svájci PRODAFT tett közzé egy részletes jelentést március elején. A hirtelen berobbanó fertőzési számok azzal magyarázhatók, hogy a malware féregszerűen terjed, mivel kontaktokat gyűjt össze, és további SMS-eket küld ki. A vizsgálatok alapján a fertőzött mobilok több mint fele Android 10-et futtat.

A csomagértesítő SMS-ben elhelyezett linkek jellemzően olyan feltört oldalakra vezetnek, ahol hitelesnek tűnő appokban rejtik el az APK-t. A link megnyitása önmagában még nem hoz bajt, az már igen, ha a felajánlott, a csomagszállító cég appjának álcázott alkalmazást letöltjük. A fertőző applikáció jogosultságokat kér az eszközhöz, és ha azokat meg is kapja, többek közt arra is képes lesz, hogy értesítéseket tiltson le, saját magát állítsa be alapértelmezett SMS-szolgáltatásnak, hívásokat kezdeményezzen, adathalász felületeket jelenítsen meg rendes appok felett.

A terjedését segíti, hogy a fertőzött eszköz telefonkönyvében található kontaktokat rögtön feltölti a malware vezérlőszerverére (CnC szerver). Ez a szerver kezdi el terjeszteni a problémás SMS-eket. Fontos azonban kiemelni, hogy a fertőzött nem a saját ismerőseinek küldi tovább az üzeneteket, hanem ismeretleneknek, ahogy arra parancsot kap a háttérben működő disztribúciós rendszertől. A fertőzött készülék kimenő üzenetei között ugyanakkor nem látható az alkalmazás által elküldött SMS. Ezért fordulhat elő az az érdekes eset, hogy valaki felhív minket, akit nem is ismerünk. Az eddigi visszajelzések alapján az üzenetek magyar mobilszolgáltatók hálózatából érkeztek, és minden szolgáltató ügyfelei érintettek.

A PRODAFT a spanyol hatóságokat is értesítette, a rendőrség március elején négy gyanúsítottat vett őrizetbe, akik a malware terjesztésével próbáltak nyerészkedni. Bár erre a napra offline lett a vezérlőszerver, nemsokkal később ismét aktívvá vált. A PRODAFT szakértői szerint a legaggasztóbb, hogy a FluBot mindössze két hónap alatt ilyen gyorsan szét tudott terjedni, illetve más országokban is elkezdte megvetni a lábát: a magyarokkal párhuzamosan a német felhasználók is elkezdték kapni az SMS-eket.

Feltört magyar oldalon is terjesztették

Érdekes az is, hogy a malware-t terjesztő feltört weboldalak miként terítik a vírust. A kiber.blog.hu blog szerzője,  Kocsis Tamás (Sharky) biztonsági szakértő bejegyzésében részletezi, hogy a weboldalak normális böngészővel nem mutatnak semmit, mivel úgy vannak felépítve, hogy ellenőrzik a böngészőt – ha nem mobileszközről nézik, csak egy üres oldalt mutat. A Kocsis által vizsgált 10-12 landing oldal mind WordPress-alapú, ez alapján sejthető, hogy a WordPress valamilyen sérülékenységén keresztül férkőzhettek be a támadók, hogy a saját tartalmaikat és a FluBotot terjesztő appot felpakolhassák a feltört oldalakra. Volt magyar érintett is, a palinkapatika.com oldalról is le lehetett egy ideig tölteni a kártékony alkalmazást – írja a biztonsági szakember.

Az SMS terjedés mellett sajnos az applikáció a fertőzött eszköz SMS-eit is képes olvasni és feltölteni, azaz például a bankok által SMS-ben megküldött egyszer használatos kódokat is meg tudja szerezni, ami egyenes utat jelent a banki csalásokhoz.

Mit tegyen, ha letöltötte az alkalmazást?

Bár a link megnyitása önmagában nem fertőzi meg az eszközt, ettől függetlenül megnyitás nélkül ajánlott törölni az SMS-t. Mivel a kártevő rendszerkomponensnek hazudja magát, nem lehet olyan simán eltávolítani, mint egy hagyományos alkalmazást.

A rendőrség egyenesen a legdrámaibb beavatkozást, a gyári beállítások visszaállítását javasolja, amivel teljesen leradírozzuk az eszközt, és minden adat törlődik a mobilunkról. A gyári visszaállítás könnyen elvégezhető: nyissuk meg a telefon beállításait, majd az Általános kezelés menüpont alatt válasszuk a Visszaállítás menüt. Itt található a Gyári adatok visszaállítása.

Az NBSZ közleménye szerint a csaló üzeneteket bejelenteni a csirt@nki.gov.hu e-mail címen vagy az nki.gov.hu weboldalon lehet, a bejelentéskor meg kell adni a feladó telefonszámát és az üzenetben található hivatkozást.

Ajánlott videó

Ha kommentelni, beszélgetni, vitatkozni szeretnél, vagy csak megosztanád a véleményedet másokkal, a 24.hu Facebook-oldalán teheted meg. Ha bővebben olvasnál az okokról, itt találsz válaszokat.

A cikkhez ide kattintva szólhatsz hozzá.
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.