Bezpieczeństwo

Flubot atakuje świątecznie

9 grudnia 2021

Flubot atakuje świątecznie

Złodzieje wiedzą co robią. Ci „offline’owi” czatują – jak mniemam – w sklepach i innych miejscach, gdzie gromadzą się ludzie. Ci nowocześni natomiast, grasujący w sieci, wysyłają w bój kolejne kampanie phishingowe. A w nich najpopularniejszy w ostatnich miesiącach ładunek – bankowy trojan Flubot.

Ci, którzy czytają Bloga regularnie, pamiętają, że Flubot zawitał doń nie pierwszy raz. O tym wyjątkowym paskudztwie pisałem już pięć miesięcy temu. Co się zmieniło? Niestety to, że oszuści ciągle nad nim pracują, usprawniając zarówno samą aplikację, jak i sposoby jej komunikacji ze swoimi serwerami. Uaktualniają też sposoby dotarcia do ofiar, nazywane „w branży” wektorami ataku. Tym razem ewidentnie ustawiając je pod nadchodzące święta.

To nie jest przesyłka!

Jak to „pod święta”? A czego najczęściej spodziewamy się, gdy zbliża się Boże Narodzenie? Oczywiście przesyłek:

ewentualnie życzeń od najbliższych. A jeśli nie zdążyliśmy odebrać telefonu, to nagrają się na pocztę głosową.

Brzmi niegroźnie? Brzmi może tak, ale ryzyko jest spore. Jak się domyślacie, w obu przypadkach pod linkiem ukrywa się Flubot właśnie. Po jego zainstalowaniu wystawimy się na cel i lada moment stracimy dane logowania do banku. Czemu? Bowiem złośliwa aplikacja generuje tzw. nakładki na strony i aplikacje najpopularniejszych polskich banków. W zasadzie nie tylko polskich, bowiem na celowniku oszustów są internauci z przeszło 20 krajów z całego świata (to poniekąd istotne, ale o tym za chwilę). Jak działa taka nakładka? My w momencie logowania jesteśmy pewni, że logujemy się do banku, podczas, gdy wpisywane dane trafiają prosto do oszustów. Jeśli przelewy, czy dodanie zaufanego odbiorcy, autoryzujemy kodem SMS – mamy problem, bowiem przy zainstalowanej złośliwej aplikacji, której daliśmy wiele uprawnień, wiadomości tekstowe również trafiają bezpośrednio do przestępców.

Czemu istotne jest, że przestępcy działają nie tylko w Polsce? Ze względu na sposób, w jaki rozpowszechniany jest Flubot. Jedną z jego aktywności jest bowiem wykradzenie książki telefonicznej ofiary. Po co? Po to, by wysłać ją innej, losowej ofierze, a ona – dopiero ona – wysyła kolejne SMSy naszym znajomym. Czemu tak? Bo jeśli przykładowo SMS „od DHL” trafiłby do Wojtka Jabczyńskiego, wysłany z mojego numeru, to Wojtek zadzwoniłby do mnie i spytał, czy mi odbiło. Jeśli wyśle go ktoś obcy – możemy uznać, że po prostu z takiego numeru korzysta nasz oddział firmy kurierskiej. A jeśli akurat do nas trafi książka telefoniczna ofiary z Wlk. Brytanii, USA, czy Nowej Zelandii? Jak duże mogą być koszty? Cóż, rekordziści wysyłali (bez swojej wiedzy rzecz jasna) nawet kilkadziesiąt tysięcy wiadomości do kolejnych ofiar. To może już być kawał rachunku…

Flubot – co robić?

Jak działa nowy Flubot? To już wersja 4.9 tego wyrafinowanego złośliwego narzędzia, więc parę zmian w swojej historii przeszła. Jeśli chcecie przyjrzeć się bardziej technicznej analizie, znajdziecie ją na stronie CERT Orange Polska. Tam też znajdziecie najnowsze przykłady tekstów fałszywych SMSów.

A jak uniknąć infekcji? Jak zawsze, przede wszystkim UWAŻAĆ. Dokładnie czytajcie przychodzące SMSy, szczególnie jeśli wydają się być choć trochę podejrzane. Tego typu wiadomości nie dostajemy wiele, poświęcenie minutę na szczegółowe przyjrzenie się treści – a przede wszystkim linkom – nie powinno być stanowić problemu. Pamiętajcie, że żadna firma nie prosi Was o zainstalowanie aplikacji spoza Sklepu Play. Jeśli obawiacie się, czy nie zostaliście zainfekowani – zajrzyjcie z telefonu na stronę CyberTarczy. Chyba, że pamiętacie, że zainstalowaliście coś, co podszywało się pod aplikację DHL lub Voicemail z zewnętrznego źródła – wtedy na pewno jesteście zainfekowani. Wtedy rada jest już tylko jedna – doprowadzenie telefonu do stanu fabrycznego.

Udostępnij: Flubot atakuje świątecznie

Bezpieczeństwo

Flubot rozpowszechnia się jak grypa

10 czerwca 2021

Flubot rozpowszechnia się jak grypa

Rozpowszechnia się jak grypa, korzystając z prostej socjotechnicznej sztuczki. Od kilku miesięcy posiadacze telefonów komórkowych w Polsce (i kilku innych krajach) otrzymują SMSy o nadchodzących rzekomych przesyłkach kurierskich, z linkiem do ich „śledzenia”. Jak się ustrzec przed instalacją skrytego pod linkami trojana Flubot i co zrobić, jeśli jednak go zainstalowaliśmy?

Instaluj tylko ze Sklepu Play!

Najpierw zastanówmy się, czy na pewno cokolwiek zamawialiśmy. Jeśli spodziewamy się, że ktoś mógł nam zrobić miłą niespodziankę? Zerknijmy w adres w linku, czy na pewno ma coś wspólnego z firmą kurierską? Jeśli oszuści użyli skracacza linków, otwórzmy w przeglądarce stronę https://urlscan.io/, skopiujmy adres z SMSa i wklejmy go tam. Po kilku(nastu) sekundach zobaczymy, co się skrywa pod faktycznym adresem. Jeśli strona jest już rozpoznana jako złośliwa, serwis URL Scan od razu nas ostrzeże.

SMS z phishingiem Flubot

Chcąc poczuć odrobinę więcej emocji (użytkownikom o wiedzy podstawowej – odradzam) możemy kliknąć w linka (wyłącznie w telefonie – o tym za chwilę). Faktyczna strona firmy kurierskiej pokaże nam informację o przesyłce wraz z numerem listu przewozowego. Jeśli otwarta strona od razu będzie nas monitować o instalację pliku APK, lub poda nam link, wraz z instrukcją instalacji pliku z nieznanego źródła – mamy pewność, że to oszustwo.

Flubot sam się rozsyła

Flubot to tzw. banker, czyli złośliwy program, wyspecjalizowany w wykradaniu loginów i haseł do aplikacji do e-bankowości. Dlatego właśnie występuje w formie aplikacji na Androida i dlatego, jeśli wejdziemy na strony z phishingowych SMSów na komputerze nie zobaczymy nic, bądź zostaniemy przekierowani na zupełnie niepodejrzane witryny (oszuści ostatnio preferują Leroy Merlin).

Już przy instalacji aplikacja wymaga niestandardowych – i niebezpiecznych – uprawnień: wysyłania i odbierania SMSów oraz dostępu do listy kontaktów. Potrzebne jej to w dwóch celach: odbierania SMSów autoryzacyjnych do banku (o tym dalej) oraz rozsyłania się do kolejnych ofiar. Przestępcy wymyślili sprytną metodę replikacji. Wykradzioną listę kontaktów przesyłają do… innego zainfekowanego urządzenia, by dopiero stamtąd rozesłać phishingowe SMSy. To dlatego, że dla znajomych ofiary A numer ofiary B będzie anonimowy. W przeciwnym przypadku łatwo zorientowalibyśmy się, że coś jest nie w porządku, dostając od znajomych propozycję instalacji „lewej” aplikacji.

Co może się stać?

Cóż – nic dobrego. Cecha charakterystyczna malware’u Flubot to zasłanianie aplikacji bankowych nakładkami (tzw. overlays). W efekcie ofiara, sądząc, że robi przelew znajomemu, może właśnie dodawać konto przestępcy do zaufanych. Albo wpisując login i hasło tak naprawdę podawać je oszustom. Skutki mogą być opłakane, jak to klasycznie w przypadku bankerów – wyczyszczenie konta do zera, nierzadko również wzięcie wszelkich możliwych kredytów.

Na szczęście przestępcom sytuacje może utrudnić… nowa wersja Androida (o tym, jak przydatne są aktualizacje oprogramowania telefonu, napiszę na blogu jutro). Od Androida 10 bowiem system informuje nas za każdym razem, gdy jakaś aplikacja wymaga wyświetlania nad innymi. Za pierwszym razem wymaga naszej zgody. Za kolejnymi – w trakcie korzystania z „nakładkowej” aplikacji wyświetla odpowiednią ikonę na pasku zadań.

Czy Flubot jest łatwy do usunięcia

Jeśli jesteście klientami Orange Polska, CyberTarcza nie dopuszcza do transmisji danych między Waszym telefonem a infrastrukturą wirusa. Nie zmienia to jednak faktu, że trzymanie szkodnika na swoim telefonie byłoby niemądre. Niektóre z wersji Flubota są wykrywane i usuwane przez antywirusy. Jeśli zdarzyło Wam się zainstalować podejrzaną aplikację spoza Sklepu Play (albo sprawdzenie przy użyciu CyberTarczy) wykazało infekcję malwarem Flubot), ale antywirus niczego nie znalazł, przejrzyjcie listę zainstalowanych aplikacji. Jeśli znajdziecie Fedex/DHL, czy też aplikację o innej nazwie z logiem firmy kurierskiej, spróbujcie ją odinstalować.

Udało się – super! Nie udało się, a aplikacja uraczyła Was komunikatem o tym, że system nie pozwala jej usunąć? To w zasadzie też super, bo to dowód na to, że trafiliście w dziesiątkę. Niedoświadczonym użytkownikom polecam wtedy oddanie telefonu w ręce eksperta (możecie podać link do tego tekstu). Doświadczeni i świadomi tego co robią – zajrzyjcie na XDA Developers, gdzie opisane jest dedykowane narzędzie do usuwania Flubota. Ponieważ jest to… plik .apk spoza Sklepu Play, decyzję pozostawiam Wam. Niestety najnowszych wersji Flubota nie da się usunąć tym sposobem, tym niemniej do nas jeszcze nie trafiła taka „nieusuwalna” próbka.

Dla użytkowników z wiedzą techniczną – jeśli jeszcze nie widzieliście, zajrzyjcie na szczegółowe analizy Flubota w wykonaniu CERT Orange Polska. Tutaj znajdziecie pierwszą, a tutaj drugą.

Udostępnij: Flubot rozpowszechnia się jak grypa

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej