Bezpieczeństwo

Mój telefon sam dzwoni do Hiszpanii! Co robić?

16 grudnia 2021

Mój telefon sam dzwoni do Hiszpanii! Co robić?

W szale wykorzystywania możliwości smartfonów często zapominamy o tym, że przede wszystkim telefon dzwoni. Tzn. ma dzwonić. Gry, serwisy wideo, aplikacje biurowe – temu poświęcamy gros czasu z urządzeniem. Nic dziwnego, że z nudów czasami telefon dzwoni. Np. do Hiszpanii. Bez naszej wiedzy.

Nie żartuję. Wirusy mogą robić różne sztuki, grunt żeby przynosiły korzyści przestępcom/oszustom. Z dzwonienia, czy wysyłania SMSów można to zrobić w sposób wyjątkowo łatwy – wystarczy umówić się z dostawcą telefonicznym z innego kraju na „działkę” za terminowanie ruchu. Nie trzeba przecież mówić, że dzieje się to nielegalnie.

Kilka lat temu na stronie CERT Orange Polska opisywaliśmy sytuację, gdy karty SIM w urządzeniach internetu rzeczy wysyłały zagraniczne SMSy. Wtedy też część zysków za terminowanie wpadała do kieszeni oszustów. Na jednej wiadomości szału nie było, ale kiedy szły w setki tysięcy – to już było o czym mówić. Tym razem chodzi o rozmowy zagraniczne (potwierdzone kierunki do Hiszpanii i na Litwę). Oczywiście fakt ich występowania jest skrzętnie ukrywany przez złośliwe oprogramowanie. Rozmów nie będzie więc w menu telefonu, wśród ostatnio wykonanych. Efekt zobaczycie dopiero na rachunku. A ten może okazać się bolesny.

Brawa dla Gigaseta

Skąd biorą się takie rozmowy? Oczywiście ze złośliwego kodu, znanego pod nazwami Trojan Triada i AndroidHiddenAds. Ten pierwszy to w znaczącej element oprogramowania telefonu! W tej sytuacji nie ma mowy o nieostrożności użytkownika – on po prostu dostaje już telefon z „wkładką”. W naszych analizach najczęściej pojawiała się marka Gigaset, której eksperci – jak się okazuje – już od jakiegoś czasu trzymają rękę na pulsie.

Problem pojawił sie podczas rutynowych analiz kontrolnych, został potwierdzony we współpracy z ekspertami z dziedziny informatyki śledczej. Zainfekowane zostały tylko niektóre urządzenia, złośliwe oprogramowanie zostało na nich zainstalowane przez zainfekowany serwer należący do zewnętrznego dostawcy usług aktualizacji.

Potencjalny problem może dotyczyć starszych modeli smartfonów z serii GS160, GS170, GS180 (wszystkie wersje oprogramowania), GS270 (do wersji S138) GS270 plus (do wersji S139) oraz GS370 i GS370 Plus (do wersji S128).

To wyjątek z treści oficjalnej informacji, zawierającej również rekomendacje bezpieczeństwa. To jedna z firm, której nazwa pojawia się w kontekście Triady i AndroidHiddenAds, ale jedyna, która – według naszych informacji – poinformowała swoich polskich użytkowników o zagrożeniu! Brawo!

Jeśli więc bez Twojej wiedzy telefon dzwoni – oby to był Gigaset.

Zerknij na CyberTarczę

A co jeśli masz obawy ale nie masz pewności? Podejrzane aktywności opisywanego typu zaobserwowaliśmy na telefonach z niższej półki, głównie marek popularnych w Azji i nie-, bądź mało znanych w Europie. Jeśli masz telefon w sieci Orange Polska – wyłącz WiFi i zajrzyj na stronę CyberTarczy. Potem zerknij na billing. No i – last, but not least – nie zaszkodzi poszukać na swoim telefonie programów, opisanych we wspominanym komunikacie Gigaseta. Jeśli na liście aplikacji znajdziesz którąś z poniższych:

  • Gem
  • Smart
  • Xiaoan
  • easenf
  • Tayase
  • com.yhn4621.ujm0317
  • com.wagd.smarter
  • com.wagd.xiaoan

przede wszystkim spróbuj je usunąć. Jeśli to nie zadziała – czeka Cię niestety doprowadzenie urządzenia do stanu fabrycznego i aktualizacja oprogramowania. Jeśli po resecie oprogramowanie pozostanie – kolejnym krokiem będzie niestety zmiana telefonu.

Telefon dzwoni – co robić, by tego uniknąć?

Przede wszystkim po prostu uważać co kupujemy. Nie dość, że wśród urządzeń, w których potwierdziliśmy infekcje, znaczącą większość stanowiły smartfony marek nieznanych lub mało znanych w Polsce, dodatkowo, gdy sieć sprzedaży/gwarancyjna nie funkcjonuje w Europie, trudno jest dochodzić swoich praw.

Dobrym sposobem na uniknięcie ryzyka jest karta SIM w formule przedpłaconej. Biorąc pod uwagę, że telefony z niskiej półki często kupujemy młodzieży, dzięki temu kontrolujemy wydatki, a w przypadku infekcji, stracimy tylko to, co już wpłaciliśmy. Warto też pamiętać o specyfice systemu Android, bo to on absolutnie dominuje w niskiej półce smartfonów. Co roku system Google’a otrzymuje nową wersję główną, co wiąże się m.in. z bezpieczeństwem. Czy to nowe funkcjonalności (np. selektywny przydział uprawnień aplikacjom, ochronę przed nieświadomym wysyłaniem płatnych SMSów, czy konieczność potwierdzenia przydzielenia ważnych funkcji (np. wysyłki SMSów) aplikacjom trzecim), czy też po prostu świeże poprawki bezpieczeństwa. Renomowane firmy gwarantują aktualizację do 2, rzadko 3 dużych wersji. Przy urządzeniach mniej znanych firm żadnej gwarancji nie mamy.

A najlepiej kupić telefon w naszym sklepie, wybór mamy, że hoł-hoł-hoł! 🙂

Udostępnij: Mój telefon sam dzwoni do Hiszpanii! Co robić?

Bezpieczeństwo

Złośliwy plik prosto z… YouTube’a?

2 grudnia 2021

Złośliwy plik prosto z… YouTube’a?

Więcej jest rzeczy na ziemi i w niebie, niż się ich śniło waszym filozofom. W przypadku tego tekstu cytat z mistrza Szekspira nasuwa się sam. No bo o ile złośliwe oprogramowanie wysyłane maile, czy też zawarte w linkach z SMSa nie jest nam obce, to… YouTube? Jak można zainfekować sobie komputer, oglądać film z YouTube’a? Cóż, bezpośrednio faktycznie nie, ale dla chcącego…

YouTube pełen poradników

Trudno chyba o większy truizm w erze internetu. Gdybym miał możliwość zebrać dane z całej Polski i za każde: „Znajdź se na jutubie!” dostawałbym złotówkę… O rany, jeździłbym chyba Teslą albo Astonem DB9. A że każdemu potrzebne jest coś innego, dorośli szukają choćby instrukcji (ro)skręcania* różnych rzeczy, a młodzież? Cóż, młodzież szuka też porad, jak sprawić, by droga gra stała się grą darmową.

Kto z mojego pokolenia nigdy nie ściągał torrentów, niech pierwszy rzuci kamieniem! Ja też w tym aspekcie swoje za uszami mam, tym niemniej w czasach internetu łupanego uzyskiwałem w ten sposób głównie odcinki niedostępnych w Polsce seriali. Gier, czy aplikacji w wersjach „używanych” nie ściągałem z dwóch powodów: bałem się, że do moich drzwi zapuka policja, no i nie miałem pewności, czy pliki wykonywalne nie będą miały dorzuconej odrobiny niechcianego kodu. Zrobić coś takiego z AVI – nie bardzo, ale z exe? Prosta sprawa. I o ile pokolenie się zmieniło, przestępcy (a może ich dzieci?) wiedzą, że pewne przyzwyczajenia zostały.

Spróbujcie wyszukać na YouTube filmów o crackach do popularnych gier (ja przyjrzałem się FIFA 21), darmowych skórek do CS’a, czy Fortnite’a, a nawet Robloxowej waluty (że o crackach/aktywatorach do biznesowych aplikacji już nie wspomnę). To żadnej problem, szybko znajdziemy kilka/naście filmów, w nich instrukcję krok po kroku, skąd ściągnąć pliki gry, skąd cracka, czasem podadzą nawet link do uTorrenta, żebyśmy nie musieli go szukać!

Zauważyliście? Jeśli tak, to brawo. Ten link wcale nie jest do uTorrenta.

Redline może w zasadzie wszystko

Co się dzieje, kiedy spróbujemy uruchomić rzekomego klienta do torrentów? To samo, co wtedy, gdy grę już ściągnęliśmy i odpalamy „cracka”. Oszuści nie będą się przejmować owijaniem w bawełnę. uTorrent się nie zainstaluje, a „crack” pokaże błąd. A na naszym komputerze zainstaluje się popularny w ostatnim czasie infostealer Redline! A jego możliwości Redline’a są w zasadzie nieograniczone. Spojrzawszy w przechwycone informacje, w katalogu z wykradzionymi danymi możemy znaleźć m.in. takie pliki i foldery jak:

  • Discord
  • Steam
  • Screenshots
  • Passwords
  • InstalledSoftware
  • Cookies
  • Autofills
  • UserInformation

Co ciekawe, analizując próbki informacji, wykradzionych przez botnet, znaleźliśmy sporo łączących je cech. Z drugiej strony – to nic dziwnego, że na lep pirackiej gry dają się złapać przede wszystkim ludzie młodzi, w wieku 12-14 lat, używający komputera przede wszystkim do grania. Gdy padną ofiarą przestępców, ci nie będą się wahać nad wykorzystaniem Discorda do dalszego siania malware’u, zmianą hasła i sprzedaniem konta Steam, dostępów do innych płatnych serwisów do których znajdą hasła, czy też przejęciem konta mailowego, czy społecznościowego. Sami zresztą widzicie, po nazwach powyżej, że z tymi danymi można zrobić praktycznie wszystko. A wszystko dlatego, że połaszczyliśmy się na „darmową” grę…

Co gorsza, jestem świadom problemu, jakim jest wytłumaczenie tych zagrożeń młodzieży. O ile świadomość najpopularniejszych metod ataku – maili, czy SMSów, w narodzie powoli rośnie, z niebywale popularnym YouTube może być gorzej. Tym bardziej, że wielu z nas, dzisiejszych rodziców, dzieci przerastają w świadomości cyfrowych narzędzi i wykorzystania internetu! Najlepiej byłoby, gdyby ofiarą ataku padła koleżanka/kolega, bo żywy przykład zawsze działa najlepiej. A jeśli nie? Pozostaje stara dobra edukacja (również zaglądanie na stronę CERT Orange Polska), że dobra cyfrowe, choć nienamacalne, też wymagały poniesienia kosztów w celu ich wytworzenia, więc należy za nie zapłacić. Rzecz w tym, że może to słabo wyjść pokoleniu, które w tym aspekcie pierwsze kamieniem nie rzuci…

* – wiem, że pisze się rozkręcania, ale z takim błędem w tym przypadku wygląda lepiej

Udostępnij: Złośliwy plik prosto z… YouTube’a?

Bezpieczeństwo

Złośliwy kod może być wszędzie

28 października 2021

Złośliwy kod może być wszędzie

Zastanawialiście się kiedyś, z której strony może nadejść do Was cyberatak? Kto pomyślał: „Phishingowy mail!” – ręka w górę? Jak najbardziej macie rację, to zdecydowanie najpopularniejszy wektor dotarcia do potencjalnych ofiar. Taką ofiarą może być każdy z nas. Jednak im bardziej wartościowa ofiara, tym bardziej wyrafinowany wariant ataku. Mnie tu zawsze pasuje porównanie do złodzieja samochodów. Jeśli chce się po prostu przejechać, to weźmie ostatecznie to auto, które jest słabo zabezpieczone. Ale jeśli ma zlecenie na wyjątkowy samochód, to choćbyśmy cuda wyprawiali – i tak go ukradnie. „Plankton” – wybaczcie to określenie 🙂 – czyli większość z nas to są właśnie takie „samochody do krótkiej przejażdżki”. Wielu się na prosty atak nie złapie, ale ci, którzy dadzą się oszukać, wystarczą przestępcy.

Wystarczy jeden słaby punkt

Historia zna niemało przypadków, gdy punktem wejścia do firmowej sieci okazała się jedna osoba, która dostała pieczołowicie wyrzeźbionego właśnie pod swoim kątem maila. Źli ludzie bardzo dobrze się przygotują, co może im zająć nawet kilka miesięcy. Obserwacja pracowników firmy, OSINT (Open Source Intelligence, tzw. biały wywiad) – generalnie mnóstwo informacji o wytypowanej ofierze. Skład zespołu, w którym pracuje, wzajemne sympatie i antypatie, projekty, którymi się zajmuje, hobby… Dużo? Czasem trudno sobie wyobrazić, jak mnóstwo można znaleźć o nas w sieci! Polecam test – poszukajcie w internecie wiadomości o sobie, albo o bliskim znajomym. Zaręczam, że jeśli naprawdę się przyłożycie, będziecie w szoku.

Po co to wszystko? Bo grupa jest zawsze tak silna, jak jej najsłabsze ogniwo. Żeby wykraść strategiczne dane Orange Polska nie musielibyście się włamać na komputer prezesa i mojego kolegi z blogowej redakcji, Juliena Ducarroza. Włamanie do amerykańskiej sieci sklepów Target (swoją drogą niezła nazwa…), drugiej największej sieci detalicznej w USA, zaczęło się przełamania zabezpieczeń na komputerze pracownika podwykonawcy, serwisującego klimatyzacje w sklepach w jednym ze stanów. A skończyła – podstawieniem nieco zmienionej wersji oprogramowania na kasy sklepowe, zrzucającego obraz pamięci w momencie płatności kartą. Efekt – 40 mln „wyciekniętych” danych kart, 70 mln danych klientów i setki milionów dolarów wydanych, by doprowadzić to wszystko do porządku.

„Halo! To ja, papieros!”

A najbardziej spektakularne włamanie o jakim słyszałem? Choć może nie do końca włamanie, po prostu nieautoryzowany dostęp do sieci. Na początku disclaimer – historia nie dotyczy Orange Polska, ani żadnego z naszych biznesowych klientów. Wyobraźcie sobie sytuację, gdy urządzenia sieciowe zaczynają obserwować niestandardowy ruch z sieci firmowej, kierujący się do Chin. „Bezpieczniakom” ani trochę się to nie podoba, skupiają się na znalezieniu źródła i trafiają do komputera jednego z menedżerów wysokiego stopnia. Człowieka absolutnie świadomego zagrożeń, dbającego pieczołowicie, aż do przesady, o bezpieczeństwo swoich urządzeń, nie podpinającego do komputera nawet pendrive’ów! Specjaliści od forensicu przetrzepują komputer do ostatniego tranzystora 😉 – i nic! Pomogła dopiero rozmowa z właścicielem, który przyznał, że rzuca palenie, dostał ostatnio e-papierosa i czasami ładuje go przez komputerowe gniazdo USB…

Ktoś z Was ostatnio robił testy bezpieczeństwa e-papierosa? A może rozkręcał go i analizował aktywność każdego podzespołu? Nikt na takie pomysły przecież nie wpada, a tymczasem e-papieros to przecież urządzenie o możliwościach obliczeniowych przekraczających takiego Spectruma, Commodore’a, czy Atari (niesamowite swoją drogą). A w tej sytuacji, biorąc pod uwagę, że dzisiejsze kable USB poza prądem „do” urządzenia, mogą przenosić także dane do i z – mamy odpowiedź. Na szczęście w tamtym przypadku po prostu firma tą oryginalną metodą zbierała dane, dot. tego, dokąd docierają jej produkty. Ale równie dobrze – biorąc pod uwagę, iż w dzisiejszych czasach exploit może być groźną bronią, można sobie wyobrazić takiego e-papierosa w znacząco innej roli. Prawda?

Podpinasz? Szyfruj!

Ten e-papieros to nawet mnie zaskoczył, ale np. o złośliwych klawiaturach, czy myszach (we wtyczce USB można wbrew pozorom sporo zmieścić) słyszałem już wcześniej. Kiedyś, zanim spowszedniały (i staniały) nawet pojemne pendrive’y, świetnym pomysłem na socjotechniczny atak na firmę było rozrzucenie kilkunastu/dziesięciu „gwizdków” na parkingu, w łazience – generalnie w miejscach przebywania pracowników. Pewność, że przynajmniej jeden zostanie podłączony do komputera? 100 procent. Teraz zarówno edukacja jak i Hollywood nauczyły nas nieufania obcym pendrive’om. Warto jednak tę zasadę ograniczonego zaufania stosować do czegokolwiek, co podłączamy do naszego sprzętu. W Orange Polska np. od pewnego czasu wszystko, co wtykamy w USB musi mieć włączone szyfrowanie. Z jednej strony nie podoba mi się to, bo np. nie zgram książki na Kindle’a. Podobnie ze zdjęciami z telefonu.

No ale z drugiej strony, podrzucony pendrive, czy e-papieros, też nie zrobią mi krzywdy. Zewnętrznej klawiatury, czy myszy szyfrować się nie da, ale tu wystarczy podłączać sprzęt renomowanych firm, który sami rozpakujemy. Albo posłuchać, czy nie próbują rozmawiać z serwerami za granicą. Po prostu warto być świadomym, że nigdy nie wiadomo, gdzie może się czaić złośliwy kod. Nikt nie chce, by kiedyś to o nim mówiono: „słaby punkt”.

Udostępnij: Złośliwy kod może być wszędzie

Bezpieczeństwo

mObywatel jest tylko jeden

19 sierpnia 2021

mObywatel jest tylko jeden

Korzystacie z aplikacji mObywatel? Ja tak, począwszy od dowodu osobistego w „opakowaniu zastępczym” poprzez prawo jazdy, Kartę Dużej Rodziny, na certyfikacie szczepienia skończywszy (a mam wrażenie, że odpowiedzialni za tę apkę nie powiedzieli jeszcze ostatniego słowa). W mojej opinii to jeden z elementów „ucyfrowienia” naszego kraju, z którego możemy być dumni.
Niestety (jak zazwyczaj w tym miejscu piszę) – przestępcy też o tym wiedzą.

Prawie jak mObywatel


Wygląda jak prawdziwa, prawda? Przypomina co do joty podstronę Sklepu Play. Z tą różnicą, że można ją było znaleźć pod adresem m-obywatel.pl. Na tę witrynę już nie wejdziecie, w rejestrze DNS ma zapis „Trwa postępowanie wyjaśniające [REGISTERED, ze statusem clientHold/serverHold]”. A to dlatego, że – jak możecie się domyślać – nie miała nic wspólnego z aplikacją mObywatel. To faktycznie plik APK, ale aplikacja, którą zainstalujemy, to wyrafinowany trojan bankowy Alien.
Alien to mutacja popularnego Cerberusa. Pozwalająca ona m.in. na wyświetlanie tzw. nakładek. Dzieje się tak np. w przypadku korzystania z aplikacji bankowych, gdzie wpisywane poświadczenia logowania trafiają automatycznie do złodziei. A ponieważ Alien potrafi dużo więcej – przekazuje im też SMSy (m.in. z kodem do przeprowadzenia transakcji bankowej). Poza tym umie jeszcze parę innych drobiazgów – zapisywać naciśnięcia przycisków, czy przechwytywać dane lokalizacyjne z naszego smartfona.

Pop-up jak prawdziwy

Gdyby tekst skończył się tutaj, byłby trochę za krótki, prawda? Dobra, żartuję – po prostu mam jeszcze jedno, nieco odmienne ostrzeżenie. Zdarza się Wam czasami, że system operacyjny, bądź jakaś aplikacja, pokażą ekran z bijącym po oczach ostrzeżeniem? O, i jeszcze z wielkim białym krzyżem na czarnym tle. Na przykład taki:

Temu też bez większego trudu można by uwierzyć, prawda? Tylko, że jeśli klikniemy „Free memory”, ściągniemy plik MemoryUpdate.exe, z którego zainstalujemy… trojana Glubpteba (co nieco tego świństwa ciągle w naszej sieci lata, mimo regularnych kampanii CyberTarczy). On dla odmiany zawiera moduły do kopania kryptowalut, do kradzieży danych z przeglądarki, do rozprzestrzeniania się po sieci lokalnej (przy użyciu niesławnego exploitu EternalBlue), czy do ataku na routery dostępne w internecie (głównie MicroTik).

Co robić?

W pierwszym przypadku jak zawsze – nie ufać dziwnym stronom na komputerze stacjonarnym, aplikacje mobilne instalujemy WYŁĄCZNIE korzystając z aplikacji Sklepu Play. W drugim już nie jest tak łatwo. Stawiam, że 99% internautów (no, może 98) uzna ten pop-up za prawdziwy… Ja bym radził przede wszystkim czytać to, co się pojawia w takich oknach i z zasady nie ufać takim, które nie dają możliwości wyboru. „Zrób to co chcemy” i nic więcej – to jest na pewno coś, co powinno nam zapalić czerwoną lampkę. A jak to zamknąć, skoro nie ma krzyżyka w rogu? Wciskamy ctrl-alt-del, wybieramy Menedżer Zadań a tam znajdujemy aplikację, której nie znamy. Najeżdżamy na nią i wciskamy „zamknij” do momentu, aż okienko się zamknie.

Udostępnij: mObywatel jest tylko jeden

Bezpieczeństwo

Flubot rozpowszechnia się jak grypa

10 czerwca 2021

Flubot rozpowszechnia się jak grypa

Rozpowszechnia się jak grypa, korzystając z prostej socjotechnicznej sztuczki. Od kilku miesięcy posiadacze telefonów komórkowych w Polsce (i kilku innych krajach) otrzymują SMSy o nadchodzących rzekomych przesyłkach kurierskich, z linkiem do ich „śledzenia”. Jak się ustrzec przed instalacją skrytego pod linkami trojana Flubot i co zrobić, jeśli jednak go zainstalowaliśmy?

Instaluj tylko ze Sklepu Play!

Najpierw zastanówmy się, czy na pewno cokolwiek zamawialiśmy. Jeśli spodziewamy się, że ktoś mógł nam zrobić miłą niespodziankę? Zerknijmy w adres w linku, czy na pewno ma coś wspólnego z firmą kurierską? Jeśli oszuści użyli skracacza linków, otwórzmy w przeglądarce stronę https://urlscan.io/, skopiujmy adres z SMSa i wklejmy go tam. Po kilku(nastu) sekundach zobaczymy, co się skrywa pod faktycznym adresem. Jeśli strona jest już rozpoznana jako złośliwa, serwis URL Scan od razu nas ostrzeże.

SMS z phishingiem Flubot

Chcąc poczuć odrobinę więcej emocji (użytkownikom o wiedzy podstawowej – odradzam) możemy kliknąć w linka (wyłącznie w telefonie – o tym za chwilę). Faktyczna strona firmy kurierskiej pokaże nam informację o przesyłce wraz z numerem listu przewozowego. Jeśli otwarta strona od razu będzie nas monitować o instalację pliku APK, lub poda nam link, wraz z instrukcją instalacji pliku z nieznanego źródła – mamy pewność, że to oszustwo.

Flubot sam się rozsyła

Flubot to tzw. banker, czyli złośliwy program, wyspecjalizowany w wykradaniu loginów i haseł do aplikacji do e-bankowości. Dlatego właśnie występuje w formie aplikacji na Androida i dlatego, jeśli wejdziemy na strony z phishingowych SMSów na komputerze nie zobaczymy nic, bądź zostaniemy przekierowani na zupełnie niepodejrzane witryny (oszuści ostatnio preferują Leroy Merlin).

Już przy instalacji aplikacja wymaga niestandardowych – i niebezpiecznych – uprawnień: wysyłania i odbierania SMSów oraz dostępu do listy kontaktów. Potrzebne jej to w dwóch celach: odbierania SMSów autoryzacyjnych do banku (o tym dalej) oraz rozsyłania się do kolejnych ofiar. Przestępcy wymyślili sprytną metodę replikacji. Wykradzioną listę kontaktów przesyłają do… innego zainfekowanego urządzenia, by dopiero stamtąd rozesłać phishingowe SMSy. To dlatego, że dla znajomych ofiary A numer ofiary B będzie anonimowy. W przeciwnym przypadku łatwo zorientowalibyśmy się, że coś jest nie w porządku, dostając od znajomych propozycję instalacji „lewej” aplikacji.

Co może się stać?

Cóż – nic dobrego. Cecha charakterystyczna malware’u Flubot to zasłanianie aplikacji bankowych nakładkami (tzw. overlays). W efekcie ofiara, sądząc, że robi przelew znajomemu, może właśnie dodawać konto przestępcy do zaufanych. Albo wpisując login i hasło tak naprawdę podawać je oszustom. Skutki mogą być opłakane, jak to klasycznie w przypadku bankerów – wyczyszczenie konta do zera, nierzadko również wzięcie wszelkich możliwych kredytów.

Na szczęście przestępcom sytuacje może utrudnić… nowa wersja Androida (o tym, jak przydatne są aktualizacje oprogramowania telefonu, napiszę na blogu jutro). Od Androida 10 bowiem system informuje nas za każdym razem, gdy jakaś aplikacja wymaga wyświetlania nad innymi. Za pierwszym razem wymaga naszej zgody. Za kolejnymi – w trakcie korzystania z „nakładkowej” aplikacji wyświetla odpowiednią ikonę na pasku zadań.

Czy Flubot jest łatwy do usunięcia

Jeśli jesteście klientami Orange Polska, CyberTarcza nie dopuszcza do transmisji danych między Waszym telefonem a infrastrukturą wirusa. Nie zmienia to jednak faktu, że trzymanie szkodnika na swoim telefonie byłoby niemądre. Niektóre z wersji Flubota są wykrywane i usuwane przez antywirusy. Jeśli zdarzyło Wam się zainstalować podejrzaną aplikację spoza Sklepu Play (albo sprawdzenie przy użyciu CyberTarczy) wykazało infekcję malwarem Flubot), ale antywirus niczego nie znalazł, przejrzyjcie listę zainstalowanych aplikacji. Jeśli znajdziecie Fedex/DHL, czy też aplikację o innej nazwie z logiem firmy kurierskiej, spróbujcie ją odinstalować.

Udało się – super! Nie udało się, a aplikacja uraczyła Was komunikatem o tym, że system nie pozwala jej usunąć? To w zasadzie też super, bo to dowód na to, że trafiliście w dziesiątkę. Niedoświadczonym użytkownikom polecam wtedy oddanie telefonu w ręce eksperta (możecie podać link do tego tekstu). Doświadczeni i świadomi tego co robią – zajrzyjcie na XDA Developers, gdzie opisane jest dedykowane narzędzie do usuwania Flubota. Ponieważ jest to… plik .apk spoza Sklepu Play, decyzję pozostawiam Wam. Niestety najnowszych wersji Flubota nie da się usunąć tym sposobem, tym niemniej do nas jeszcze nie trafiła taka „nieusuwalna” próbka.

Dla użytkowników z wiedzą techniczną – jeśli jeszcze nie widzieliście, zajrzyjcie na szczegółowe analizy Flubota w wykonaniu CERT Orange Polska. Tutaj znajdziecie pierwszą, a tutaj drugą.

Udostępnij: Flubot rozpowszechnia się jak grypa

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej