Rozpowszechnia się jak grypa, korzystając z prostej socjotechnicznej sztuczki. Od kilku miesięcy posiadacze telefonów komórkowych w Polsce (i kilku innych krajach) otrzymują SMSy o nadchodzących rzekomych przesyłkach kurierskich, z linkiem do ich „śledzenia”. Jak się ustrzec przed instalacją skrytego pod linkami trojana Flubot i co zrobić, jeśli jednak go zainstalowaliśmy?
Instaluj tylko ze Sklepu Play!
Najpierw zastanówmy się, czy na pewno cokolwiek zamawialiśmy. Jeśli spodziewamy się, że ktoś mógł nam zrobić miłą niespodziankę? Zerknijmy w adres w linku, czy na pewno ma coś wspólnego z firmą kurierską? Jeśli oszuści użyli skracacza linków, otwórzmy w przeglądarce stronę https://urlscan.io/, skopiujmy adres z SMSa i wklejmy go tam. Po kilku(nastu) sekundach zobaczymy, co się skrywa pod faktycznym adresem. Jeśli strona jest już rozpoznana jako złośliwa, serwis URL Scan od razu nas ostrzeże.
Chcąc poczuć odrobinę więcej emocji (użytkownikom o wiedzy podstawowej – odradzam) możemy kliknąć w linka (wyłącznie w telefonie – o tym za chwilę). Faktyczna strona firmy kurierskiej pokaże nam informację o przesyłce wraz z numerem listu przewozowego. Jeśli otwarta strona od razu będzie nas monitować o instalację pliku APK, lub poda nam link, wraz z instrukcją instalacji pliku z nieznanego źródła – mamy pewność, że to oszustwo.
Flubot sam się rozsyła
Flubot to tzw. banker, czyli złośliwy program, wyspecjalizowany w wykradaniu loginów i haseł do aplikacji do e-bankowości. Dlatego właśnie występuje w formie aplikacji na Androida i dlatego, jeśli wejdziemy na strony z phishingowych SMSów na komputerze nie zobaczymy nic, bądź zostaniemy przekierowani na zupełnie niepodejrzane witryny (oszuści ostatnio preferują Leroy Merlin).
Już przy instalacji aplikacja wymaga niestandardowych – i niebezpiecznych – uprawnień: wysyłania i odbierania SMSów oraz dostępu do listy kontaktów. Potrzebne jej to w dwóch celach: odbierania SMSów autoryzacyjnych do banku (o tym dalej) oraz rozsyłania się do kolejnych ofiar. Przestępcy wymyślili sprytną metodę replikacji. Wykradzioną listę kontaktów przesyłają do... innego zainfekowanego urządzenia, by dopiero stamtąd rozesłać phishingowe SMSy. To dlatego, że dla znajomych ofiary A numer ofiary B będzie anonimowy. W przeciwnym przypadku łatwo zorientowalibyśmy się, że coś jest nie w porządku, dostając od znajomych propozycję instalacji „lewej” aplikacji.
Co może się stać?
Cóż – nic dobrego. Cecha charakterystyczna malware'u Flubot to zasłanianie aplikacji bankowych nakładkami (tzw. overlays). W efekcie ofiara, sądząc, że robi przelew znajomemu, może właśnie dodawać konto przestępcy do zaufanych. Albo wpisując login i hasło tak naprawdę podawać je oszustom. Skutki mogą być opłakane, jak to klasycznie w przypadku bankerów – wyczyszczenie konta do zera, nierzadko również wzięcie wszelkich możliwych kredytów.
Na szczęście przestępcom sytuacje może utrudnić... nowa wersja Androida (o tym, jak przydatne są aktualizacje oprogramowania telefonu, napiszę na blogu jutro). Od Androida 10 bowiem system informuje nas za każdym razem, gdy jakaś aplikacja wymaga wyświetlania nad innymi. Za pierwszym razem wymaga naszej zgody. Za kolejnymi – w trakcie korzystania z „nakładkowej” aplikacji wyświetla odpowiednią ikonę na pasku zadań.
Czy Flubot jest łatwy do usunięcia
Jeśli jesteście klientami Orange Polska, CyberTarcza nie dopuszcza do transmisji danych między Waszym telefonem a infrastrukturą wirusa. Nie zmienia to jednak faktu, że trzymanie szkodnika na swoim telefonie byłoby niemądre. Niektóre z wersji Flubota są wykrywane i usuwane przez antywirusy. Jeśli zdarzyło Wam się zainstalować podejrzaną aplikację spoza Sklepu Play (albo sprawdzenie przy użyciu CyberTarczy) wykazało infekcję malwarem Flubot), ale antywirus niczego nie znalazł, przejrzyjcie listę zainstalowanych aplikacji. Jeśli znajdziecie Fedex/DHL, czy też aplikację o innej nazwie z logiem firmy kurierskiej, spróbujcie ją odinstalować.
Udało się – super! Nie udało się, a aplikacja uraczyła Was komunikatem o tym, że system nie pozwala jej usunąć? To w zasadzie też super, bo to dowód na to, że trafiliście w dziesiątkę. Niedoświadczonym użytkownikom polecam wtedy oddanie telefonu w ręce eksperta (możecie podać link do tego tekstu). Doświadczeni i świadomi tego co robią – zajrzyjcie na XDA Developers, gdzie opisane jest dedykowane narzędzie do usuwania Flubota. Ponieważ jest to... plik .apk spoza Sklepu Play, decyzję pozostawiam Wam. Niestety najnowszych wersji Flubota nie da się usunąć tym sposobem, tym niemniej do nas jeszcze nie trafiła taka "nieusuwalna" próbka.
Dla użytkowników z wiedzą techniczną - jeśli jeszcze nie widzieliście, zajrzyjcie na szczegółowe analizy Flubota w wykonaniu CERT Orange Polska. Tutaj znajdziecie pierwszą, a tutaj drugą.
Komentarze
Nie rozumiem polityki i tłumaczenia ludzi odpowiedzialnych za bezpieczeństwo w tunelu. Uważam że zasięg w takim tunelu powinien być dla wszystkich operatorów. Nie każdy zna ABC pierwszej pomocy. Gdyby doszło do potrzeby udzielenia pomocy w postaci reanimacji to dyspozytor medyczny może wspierać osobę prowadząca takie czynności. Szkoda słów…..Polska to kraj absurdów.
Odpowiedzja mieszkam w Małopolsce i nie mam zasięgu choć Orange tak obiecywało już cztery lata minęlły i dalej nic
Odpowiedz