Már majdnem két hónapja fertőz az SMS-ek segtségével terjesztett FluBot (másképpen Cabassous vagy FedEx Banker) nevű kártevő, ami egyrészt scam üzeneteket küld az érintett készülékek címlistájára, másrészt megpróbálja ellopni a felhasználók banki hozzáféréseit. Ahogy a múlt hónap végén a Telekom közleménye alapján mi is beszámoltunk róla, a csalók az aktuális kampányban csomagok érkezéséről szóló SMS-eket küldenek, az ebben lévő hivatkozás pedig olyan oldalakra vezet, ahol egy kártékony mobilalkalmazás telepítésére próbálják rávenni a célpontokat.

Ahogy a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) rendkvüli tájékoztatásából is kiderült, a FluBot folyamatosan figyeli a fertőzött készülékeken futtatott alkalmazásokat. Amennyiben pénzügyi vagy kriptovalutákhoz kapcsolódó alkalmazás indítását észleli, abban az esetben az eredeti alkalmazást egy úgynevezett overlay technikával fedi el, és mellette egy ahhoz hasonló adathalász felületet nyit meg, amely képes a felhasználói adatok (felhasználónév, jelszó) kinyerésére és továbbítására. Azt is érdemes tudni, hogy a FluBot működtetői teljes hozzáférést szerezhetnek a mobilokhoz, így az SMS alapú kétfaktoros azonosítás sem feltétlenül fog ki rajtuk.

Ahogy az NBSZ NKI figyelmeztetése is kiemeli, a trójai nem a Google Play alkalmazásboltban található appokon, hanem weboldalakon keresztül támadja meg az eszközöket. A védekezéshez tehát érdemes továbbra is észben tartani, hogy ismeretlen forrásból még akkor sem jó ötlet alkalmazásokat telepíten, ha az oldal ránézésre megbízhatónak tűnik. Bár a kártevő csak androidos készülékeket képes fertőzni, az óvatosságra az Apple-felhasználóknak is van okuk, ugyanis a preparált oldalakon keresztül az ő adataikat is megpróbálhatják megszerezni.

Egyelőre nem sikerült megakasztani

Időközben világszrete egyre több riasztást adnak ki a FluBot kampányokkal kapcsolatban, legutóbb például az Egyesült Királyság kiberbiztonsági központja (NCSC) tette közzé figyelmeztetését és a malware eltávolításához való tanácsait. Ennek alapján a kártevőt már látszólag az Amazontól érkező üzenetekkel is terjeszteni próbálják, vagyis a futárszolgálatok mellett újabb márkákat pécéznek ki maguknak, és már ott is mindhárom nagy mobilszolgáltató megerősítette, hogy a scam megjelent összesen 58 millió ügyfelet kiszolgáló hálózataikban.

Bár a szóban forgó adathalász támadásokat legelőször Spanyolországban fedezték fel, de kamu SMS-eknek azóta a magyar vagy az angol mellett lengyel és német nyelvű változatai is megjelentek a beszámolókban, sőt legújabban olasz, holland, skandináv és japán felhasználók is kaptak ilyen üzeneteket. A spanyoloknál a hírek szerint legalább 60 ezer androidos eszközt sikerült megfertőzniük a bűnözőknek, és a más országokban indított kampányok annak ellenére is futnak, hogy a spanyol hatóságok már több embert letartóztattak a támadásokkal kapcsolatban.