NCKB SK-CERT varuje pred šírením malvéru Flubot

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred šírením malvéru Flubot, zameraného na mobilné zariadenia s operačným systémom Android.

Momentálne sa tento malvér šíri prostredníctvom SMS a MMS vo viacerých štátoch EÚ a je vysoká pravdepodobnosť, že sa útočníci zamerajú aj na slovenský kybernetický priestor.

NCKB SK-CERT sleduje Flubot už dlhodobo a v spolupráci s medzinárodnou komunitou sa zúčastňuje na technickej analýze jednotlivých kmeňov tohto malvéru. Jeho prudké šírenie sme pozorovali napríklad koncom roka 2021 vo Fínsku. Momentálne prebieha masívna kampaň v Českej republike. V súčasnosti preto riziko masívneho šírenia tohto malvéru v Slovenskom kybernetickom priestore hodnotíme ako veľmi vysoké.

Čo je to Flubot

Malvér Flubot je škodlivý kód, ktorý sa šíri na mobilných zariadeniach (smartfóny, tablety) s operačným systémom Android. Prvotným vektorom šírenia tohto malvéru sú phishingové SMS a MMS správy, ktoré vyzývajú obeť na vykonanie rôznych typov aktivít:

  • vypočutie si hlasovej správy,
  • informácia o neprijatom hovore,
  • informáciu o doručovaní, resp. sledovaní zásielky,
  • výzva na zaplatenie poplatku,

Každá SMS alebo MMS správa obsahuje škodlivý URL odkaz. Ten odkazuje na stiahnutie si škodlivej aplikácie. Ak obeť aplikáciu nainštaluje, Flubot sa aktivuje a v prvej fáze rozošle phishingové SMS a MMS na telefónne kontakty obete. Následne zbiera informácie z mobilného zariadenia obete a odosiela ich útočníkovi. Môže ísť napríklad o prístupové údaje do finančných služieb (internetbanking), údaje z platobných kariet, údaje z kryptopeňaženiek, heslá na sociálne siete, fotografie, polohu mobilného telefónu a iné citlivé dáta.

Čím je Flubot nebezpečný?

Útočníci malvér Flubot neustále prispôsobujú svojim potrebám. Dokážu tento malvér používať aj na regionálnej úrovni, nakoľko obsah SMS a MMS správ vytvárajú v rôznych jazykových mutáciách podľa toho, v akej krajine útočia. Je pravdepodobné, že tento malvér využívajú viaceré nezávislé skupiny útočníkov. Aj napriek sofistikovanosti útočníkov pri používaní miestneho jazyka je však väčšinou možné odhaliť, že ide o phishingový útok. V prípade Českej republiky vyzerali správy nasledovne:

  • „Prichozi hla sova zprava :“
  • „Mate nov o u hl aso vou zpravu u z“
  • „Ma te 1 no vo u hlas ovou zpravu“

V prípade tohto malvéru sa však útočníci neprispôsobujú iba lokalizáciou. Neustále menia obsah phishingových správ tak, aby boli dôveryhodnejšie a zasiahli tak čo najväčší počet obetí.

Malvér Flubot sa šíri veľmi rýchlo. Využíva na to kontakty obete. Po inštalácii škodlivej aplikácie malvér rozošle na všetky telefónne čísla v zariadení obete SMS alebo MMS správy s phishingovým obsahom. To znamená, že v priebehu krátkeho času (rádovo hodín) dokáže Flubot rozoslať desaťtisíce správ.

Odporúčania

Národné centrum kybernetickej bezpečnosti SK-CERT odporúča všetkým používateľom mobilných zariadení bez ohľadu na operačný systém:

  • ak vám príde SMS, MMS, mail alebo správa cez komunikačné aplikácie (Messenger, WhatsApp, Signal a podobne) s výzvou na kliknutie na URL odkaz, na tento odkaz neklikajte. Ak ste klikli, nereagujte na výzvy na inštaláciu aplikácií alebo vyplnenie údajov vo formulároch,
  • nereagujte na urgentné správy unáhlene, prečítajte si správu viac krát. Náhlivosť a urgencia bývajú najčastejším trikom útočníkov ako donútiť potencionálnu obeť, aby vykonala to, čo chcú,
  • ak vám príde podozrivá správa od známeho alebo rodiny, overte si jej pravosť iným spôsobom – telefonicky alebo najlepšie osobne. Použite pri tom správny kontakt zistený dôveryhodným spôsobom, nie nevyhnutne číslo z ktorého prišla podozrivá správa,
  • sťahovať a inštalovať aplikácie len z overených a dôveryhodných zdrojov, teda oficiálnych obchodov jednotlivých výrobcov mobilných zariadení, resp. operačných systémov. Tieto obchody sú automaticky predinštalované v mobilných zariadeniach a poskytujú jediný dôveryhodný zdroj aplikácií,
  • využívajte možnosť odmietnuť aplikácii prístup k SMS (aplikácia si toto právo môže vyžiadať pri inštalácii, ale aj kedykoľvek počas behu). V systémových nastaveniach preverte, ktorým aplikáciám ste toto oprávnenie v minulosti udelili, 
  • vo všeobecnosti pri inštalácii akejkoľvek aplikácie dbajte na to, aby ste nepovoľovali aplikácii prístup k informáciám, ku ktorým nemá mať prečo prístup. Ak je to možné, obmedzte oprávnenia každej aplikácie na nevyhnutné minimum. Ak to nie je možné, aplikáciu radšej neinštalujte,
  • nikomu za žiadnych okolností neposkytujte vaše osobné údaje, údaje o platobných kartách alebo prístupové údaje do internetbankingu či na sociálne siete,
  • Udržiavajte vaše mobilné zariadenie neustále aktualizované. To platí aj o všetkých aplikáciách, ktoré máte v zariadení nainštalované. Aktualizácie čerpajte iba z oficiálnych a overených zdrojov – v prípade aktualizácie operačného systému mobilného zariadenia sú to oznámenia o aktualizácii v nastaveniach telefónu, v prípade aktualizácie aplikácií oficiálne obchody,
  • Majte nainštalované iba tie aplikácie, ktoré naozaj využívate. Odinštalujte staré aplikácie, ktoré už dlhšiu dobu nepoužívate. Môžu byť takisto cestou, ako sa útočník môže dostať do vášho mobilného telefónu, napríklad zneužitím zraniteľnosti,
  • ak dostanete podozrivú správu od známeho alebo rodiny, upozornite ich na skutočnosť, že ich mobilný telefón mohol byť napadnutý,
  • pravidelne si zálohujte dáta vášho telefónu,
  • heslá a prístupové údaje do vašich služieb si ukladajte v zabezpečenej podobe v šifrovaných peňaženkách. Neukladajte si ich v prehliadači alebo v textovej forme v poznámkach telefónu,
  • ak dostanete správu, ktorá sa vám zdá podozrivá, resp. máte podozrenie, že môže ísť o phishing, prosím informujte nás o tom na [email protected]. Do správy uveďte, z akého telefónneho čísla ste správu prijali, aký bol jej obsah a aké URL sa v nej nachádzalo.

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy