Uwaga! Mobilne malware FluBot podszywa się pod firmy kurierskie

FluBot znany jest od grudnia 2020 roku, jednak wciąż działa i naraża użytkowników na straty. Ataki odnotowano również w Polsce.

Eksperci ds. cyberbezpieczeństwa ostrzegają: wykorzystująca wizerunek firm kurierskich akcja daje przestępcom m.in. dostęp do numerów kart kredytowych czy bankowości online nieświadomych użytkowników. Pojawiła się wersja 4.0 zagrożenia, co oznacza, że jej twórcy planują szeroką akcję w wielu krajach na całym świecie. Od grudnia 2020 roku złośliwe oprogramowanie uderzyło m.in. w Niemczech, Polsce, we Włoszech i Holandii. Wymierzone jest głównie w użytkowników urządzeń mobilnych korzystających z systemu Android, ale istnieją także mutacje atakujące właścicieli smartfonów iPhone.

Jak działa szkodnik? W przypadku systemu Android ofiara najpierw otrzymuje wiadomość SMS od nadawcy, który podszywa się pod popularną markę kurierską, zarówno globalną - np. FedEx, DHL, UPS - jak i lokalną, np. InPost. W wiadomości pojawia się prośba o kliknięcie w załączony link w celu pobrania i zainstalowania aplikacji przewoźnika. W rzeczywistości to złośliwe oprogramowanie FluBot. Mutacja kampanii wymierzona w iOS zawiera ankietę, która wyłudza dane, wyświetla fałszywą informację o wygranej i zachęca do opłacenia przesyłki z nagrodą. Co istotne, FluBot został opracowany tak, aby wyłączać ochronę Play Protect i pozyskiwać dane kolejnych ofiar.

Uwaga! Mobilne malware FluBot podszywa się pod firmy kurierskie

Kamil Sadkowski, specjalista ds. cyberbezpieczeństwa ESET, zauważa:

Przestępcy doskonale zdają sobie sprawę z tego, że w czasie pandemii coraz więcej użytkowników korzysta z usług firm kurierskich i zakupów online. Podstępnie wykorzystują tę okazję, podszywając się pod popularne firmy. Złośliwe oprogramowanie skonstruowane jest tak, by dezaktywować wewnętrzną ochronę Play Protect oraz uniemożliwiać instalację niektórych rozwiązań bezpieczeństwa firm trzecich. Buduje także bazę potencjalnych ofiar. Dane z pierwszego kwartału 2021 roku pokazują, że operatorzy FluBot przechwycili ponad 11 milionów numerów telefonów, należących do mieszkańców Hiszpanii, gdzie kampania się rozpoczęła

Po zainstalowaniu i przyznaniu żądanych uprawnień, FluBot uruchamia szereg szkodliwych funkcji: spamuje SMS-ami, wykrada numery kart kredytowych oraz dane do kont bankowych, szpieguje poczynania użytkownika i gromadzi jego kontakty. Jest też w stanie przechwytywać wiadomości SMS i powiadomienia od operatorów telekomunikacyjnych, otwierać strony przeglądarki i pozyskiwać dane uwierzytelniające. Jak uniknąć tego zagrożenia? Eksperci ESET radzą: jeśli otrzymasz podejrzaną wiadomość SMS z linkiem, pod żadnym pozorem nie klikaj go. Zamiast tego przejdź na oficjalną stronę internetową firmy kurierskiej i tam sprawdź status swojej przesyłki, a na urządzeniu mobilnym z Androidem instaluj tylko aplikacje z oficjalnego sklepu Google Play.

FluBot można usunąć ręcznie - filmik w tym linku pokazuje, jak tego dokonać.

Grafika: Sora Shimazaki/Pexels