Mint arról beszámoltunk az elmúlt héten, szöveges üzenetben tömeges támadás érkezett a magyarok telefonjaira. Az sms csomagküldő szolgáltatás üzenetének tüntette fel magát, a benne található linkre kattintva azonban kártevőt telepített Android-rendszerű telefonokra, amelyekről személyes adatokat lopott, mielőtt az áldozat ismerőseinek továbbította volna magát.

A Nemzeti Kibervédelmi Intézet jelentette, hogy a támadás végrehajtásáért a FluBot nevű kártevő program a felelős, ami a személyes, banki információk mellett különösen kriptovaluták adatai után kutat. Az NKI a kártevő eltávolítására a Google Play alkalmazás-áruház FluBot Malware Uninstall nevű programjának letöltését és futtatását javasolja.

Az ilyen fajta támadás kiterjedését nagyon nehéz meghatározni, hatósági becslések szerint Magyarországon a kiküldött sms-ek száma 100 ezres nagyságrendű. A vírus terjedése során »figyel« arra, hogy a megfertőzött telefon névjegyzékében szereplő kontaktokhoz egy másik megfertőzött telefon küldjön sms-t, így a legtöbben számukra ismertelen, de nagyon is valódi telefonszámról kaptak üzenetet. Ezek alapján azt mondanám, hogy az idő előrehaladtával egyre nőhet a vírus kiterjedése, aminek csak a tudatos és figyelmes viselkedésünkkel szabhatunk határt

– mondta Bánszki Zsolt, a 4ig IT-biztonsági üzletágának igazgatója.

A szakember az Index kérdésére elmondta, hogy nemcsak az androidos eszközökre, de az iPhone-okra is veszélyes a kártevő, amely a másik operációs rendszert észlelve adathalászattal próbálkozik. Mint megtudtuk, az Apple által napokban kiadott sürgős frissítésnek azonban nincs közvetlen köze a csaló sms-ekhez.

A link megnyitását követően a felhasználó egy, az érintett csomagküldő szolgáltatóéhoz (jellemzően Fedex) nagyon hasonló megjelenésű weboldalt kap, ami egy alkalmazás telepítésére sarkallja, amivel követheti az állítólagos csomagot. Ez az alkalmazás egy FLuBot nevű malware-t tartalmaz, amiről a PRODAFT nevű kiberbiztonsági cég pár héttel korábban publikált egy elemzést. Ezek után a malware feltölti a készüléken található telefonkönyv összes bejegyzését egy ún. C&C-szerverre, ami a további terjedést vezérli. Ezenfelül az applikáció képes feltölteni a készüléken található és az oda érkező sms-eket, illetve rögzíteni a billentyűleütéseket, amelyek segítségével a támadó megismeri a jelszavainkat, egyszer használatos kódjainkat stb., kijátszva ezzel például a »hagyományos«, sms-alapú kétfaktoros azonosítást is. Mára már azt is tudjuk, hogy alapvetően a banki adatainkra vadászik a támadó, és sajnos már többmilliós visszaélésekről is hallani

– hívta fel a figyelmet Bánszki Zsolt. 

 A malware nem válogat, hogy céges vagy privát számokra küldi az sms-t, valamint a felhasználók is előszeretettel használják ugyanazon készüléküket a magánügyeik és a céges ügyeik intézésére, ugyanazon készüléken olvassák a céges leveleiket, férnek hozzá a vállalatai infrastruktúrához, mint ahova a csomagjaik érkezéséről szóló üzeneteket kapják. A védekezésre léteznek technikai megoldások, egy jó végpontvédelmi szoftver, továbbá egy Mobil Device Management rendszer segítségével az ilyen típusú támadások is kivédhetők, pontosabban az általuk okozott kár jelentősen mérsékelhető. A legfontosabb védekezési módszer azonban a felhasználói tudatosság, amit folyamatos képzésekkel és tesztekkel lehet fejleszteni és szinten tartani

– tette hozzá.

A célba vett mobilbanking applikációkról bővebb, de nem teljes lista a Nemzeti Kibervédelmi Intézet figyelmeztetésében olvasható.

(Borítókép: Egy nő használja okostelefonját. Fotó: Robert Alexander / Getty Images)