Látszólagos futárszolgálattól érkező hamis csomagértesítő SMS-ben veszik rá trójai kártevő telepítésére az androidos felhasználókat. A probléma Magyarországon olyan sok embert érint, hogy az ügyben a Nemzeti Kibervédelmi Intézet (NKI) is riasztást adott ki.

A járvány alatt sok ember rendel online boltokból, így sokan várnak egy üzenetet webboltjuktól vagy a futárszolgálattól, hogy mikor érkezik a várt csomag.

Ezt a megváltozott fogyasztói szokást használják ki azok az egyelőre ismeretlen támadók, akik látszólag egy csomagküldő szolgálattól érkező hamis SMS-ben veszik rá az embereket, hogy telepítsenek egy kártevőt. A támadás itthon, magyar nyelven terjed, emiatt a Nemzeti Kibervédelmi Intézet riasztást adott ki.

Hogyan néz ki ez az SMS?

Az SMS egy futárszolgálattól megszokott, rövid üzenetet tartalmaz (lásd még a fenti képen):

Megérkezett a csomagja, kovesse nyomon itt: https://(valtozó hivatkozás)”

A tapasztalatok szerint a webes hivatkozás változik, de több esetben .com végződésű. A meglátogatott weboldal általában egy ismert futárszolgálat oldalát utánozza, például a FedEx, a DHL, vagy az UPS oldaláét.

Az oldalon nem kapunk egyelőre semmilyen tájékoztatást a várt csomagról, hanem egy alkalmazás telepítésére próbálnak rávenni: „Töltse le alkalmazásunkat a csomag nyomon követéséhez!”

A fertőződésről

A weboldal felkeresése önmagában még nem fertőzi meg a telefonunkat. A fertőzéshez végig kell menni a következő lépéseket:

• A felhasználó lekattintja az SMS-ben érkező linket.
• A weboldalról letölti a telefonjára az alkalmazást.
• Engedélyezi az ismeretlen forrásból származó alkalmazások telepítését.
• Telepíti az alkalmazást.

Ha ezt mind megteszi, a telefon jó eséllyel megfertőződik. Az androidos vírusvédelmek figyelmeztethetnek akár a letöltéskor, akár a telepítéskor.

Amennyiben a felhasználó telepíti a kártékony alkalmazást, és azt nem akadályozza meg a védelmi szoftver, úgy a telefonra a legtöbb esetben a FluBot kártevő kerül, de más trójait is bevethetnek a támadók.

A FluBot

A FluBot kártevő alapértelmezett application launcher-ré állítja be önmagát, így bármilyen alkalmazást el tud indítani. Ezzel a kártevő eltávolítását is meg tudja akadályozni.

A FluBot kártevő adatlopó trójai alkalmazás, mely a mobiltelefonon lévő pénzügyi alkalmazásokat célozza meg. A kártevő folyamatosan figyeli, hogy a felhasználó milyen alkalmazásokat indít el. Ha banki, kriptovalutához kapcsolódó alkalmazásról van szó, akkor az eredeti alkalmazás mellett ő is indít egy saját alkalmazást, mellyel elfedi az eredeti pénzügyi alkalmazást. A gyanútlan felhasználó ezen a felületen adja meg saját adatait, melyet a támadóknak küld el valójában.

Milyen alkalmazásokat támad?

Az NKI adatai szerint az alábbi alkalmazások felhasználóit célozza meg a kártevő, de megtámadhat más, listában nem szereplő alkalmazást is:

• MKB Mobilalkalmazás
• K&H mobilbank
• Budapest Bank Mobill App
• OTP SmartBank
• UniCredit Mobile Application
• George Magyarország
• Kripto tőzsdék, online Kriptotárcák:
• Blockchain Wallet
• Coinbase – Buy& Sell Bitcoin Crypto Wallet
• Binance – Buy& Sell Bitcoin Securely
• Blockchain Wallet

Hogyan védekezzünk ellene?

Óvatosan kezeljünk minden olyan felszólítást, hogy telepítsünk bármilyen alkalmazást mobiltelefonunkra. A legtöbb futárszolgálat weboldalt tart fenn a csomagok követésére, mobilos alkalmazása csomag nyomon követésére nincs is.

Használjunk androidos mobiltelefonunkon is vírusvédelmet, a G DATA alkalmazását ingyen letöltheti a Play áruházból. A készüléken érdemes víruskeresést futtatni!

A kártevő ismert változatai ellen az androidos védelmi csomagok védelmet nyújtanak, de fontos a körültekintő használat is. Általánosságban azt javasoljuk, hogy ne telepítsen a telefonjára ismeretlen forrásból származó alkalmazásokat, csak ha egészen biztos ezek készítőjében!