Látszólagos futárszolgálattól érkező hamis csomagértesítő SMS-ben veszik rá trójai kártevő telepítésére az androidos felhasználókat. A probléma Magyarországon olyan sok embert érint, hogy az ügyben a Nemzeti Kibervédelmi Intézet (NKI) is riasztást adott ki.
A járvány alatt sok ember rendel online boltokból, így sokan várnak egy üzenetet webboltjuktól vagy a futárszolgálattól, hogy mikor érkezik a várt csomag.
Ezt a megváltozott fogyasztói szokást használják ki azok az egyelőre ismeretlen támadók, akik látszólag egy csomagküldő szolgálattól érkező hamis SMS-ben veszik rá az embereket, hogy telepítsenek egy kártevőt. A támadás itthon, magyar nyelven terjed, emiatt a Nemzeti Kibervédelmi Intézet riasztást adott ki.
Hogyan néz ki ez az SMS?
Az SMS egy futárszolgálattól megszokott, rövid üzenetet tartalmaz (lásd még a fenti képen):
Megérkezett a csomagja, kovesse nyomon itt: https://(valtozó hivatkozás)”
A tapasztalatok szerint a webes hivatkozás változik, de több esetben .com végződésű. A meglátogatott weboldal általában egy ismert futárszolgálat oldalát utánozza, például a FedEx, a DHL, vagy az UPS oldaláét.
Az oldalon nem kapunk egyelőre semmilyen tájékoztatást a várt csomagról, hanem egy alkalmazás telepítésére próbálnak rávenni: „Töltse le alkalmazásunkat a csomag nyomon követéséhez!”
A fertőződésről
A weboldal felkeresése önmagában még nem fertőzi meg a telefonunkat. A fertőzéshez végig kell menni a következő lépéseket:
- A felhasználó lekattintja az SMS-ben érkező linket.
- A weboldalról letölti a telefonjára az alkalmazást.
- Engedélyezi az ismeretlen forrásból származó alkalmazások telepítését.
- Telepíti az alkalmazást.
Ha ezt mind megteszi, a telefon jó eséllyel megfertőződik. Az androidos vírusvédelmek figyelmeztethetnek akár a letöltéskor, akár a telepítéskor.
Amennyiben a felhasználó telepíti a kártékony alkalmazást, és azt nem akadályozza meg a védelmi szoftver, úgy a telefonra a legtöbb esetben a FluBot kártevő kerül, de más trójait is bevethetnek a támadók.
A FluBot
A FluBot kártevő alapértelmezett application launcher-ré állítja be önmagát, így bármilyen alkalmazást el tud indítani. Ezzel a kártevő eltávolítását is meg tudja akadályozni.
A FluBot kártevő adatlopó trójai alkalmazás, mely a mobiltelefonon lévő pénzügyi alkalmazásokat célozza meg. A kártevő folyamatosan figyeli, hogy a felhasználó milyen alkalmazásokat indít el. Ha banki, kriptovalutához kapcsolódó alkalmazásról van szó, akkor az eredeti alkalmazás mellett ő is indít egy saját alkalmazást, mellyel elfedi az eredeti pénzügyi alkalmazást. A gyanútlan felhasználó ezen a felületen adja meg saját adatait, melyet a támadóknak küld el valójában.
Milyen alkalmazásokat támad?
Az NKI adatai szerint az alábbi alkalmazások felhasználóit célozza meg a kártevő, de megtámadhat más, listában nem szereplő alkalmazást is:
- MKB Mobilalkalmazás
- K&H mobilbank
- Budapest Bank Mobill App
- OTP SmartBank
- UniCredit Mobile Application
- George Magyarország
- Kripto tőzsdék, online Kriptotárcák:
- Blockchain Wallet
- Coinbase – Buy& Sell Bitcoin Crypto Wallet
- Binance – Buy& Sell Bitcoin Securely
- Blockchain Wallet
Hogyan védekezzünk ellene?
Óvatosan kezeljünk minden olyan felszólítást, hogy telepítsünk bármilyen alkalmazást mobiltelefonunkra. A legtöbb futárszolgálat weboldalt tart fenn a csomagok követésére, mobilos alkalmazása csomag nyomon követésére nincs is.
Használjunk androidos mobiltelefonunkon is vírusvédelmet, a G DATA alkalmazását ingyen letöltheti a Play áruházból. A készüléken érdemes víruskeresést futtatni!
A kártevő ismert változatai ellen az androidos védelmi csomagok védelmet nyújtanak, de fontos a körültekintő használat is. Általánosságban azt javasoljuk, hogy ne telepítsen a telefonjára ismeretlen forrásból származó alkalmazásokat, csak ha egészen biztos ezek készítőjében!
