Rendkívüli tájékoztató SMS üzenetek útján terjesztett FluBot kártevővel kapcsolatban

FRISSÍTÉS: 2021.03.30 17:26

Az esetleges fertőzések megszüntetésére korábban javasolt „FluBot Malware Uninstall” nevű applikáció már nem érhető el a Google Play Áruházból.
A további fertőzések elkerülése végett, javasoljuk, hogy mindenki kellő körültekintéssel kezelje az SMS-ben kapott hivatkozásokat. A korábban azonosított fertőzések megszüntetésére az NBSZ NKI alternatív megoldások vizsgálatát megkezdte. A tesztek eredményeinek függvényében az új javaslatokat honlapunkon, valamint Facebook és Instagram oldalainkon is közzétesszük.
Jelen ismereteink szerint a kártevő továbbra is Android operációs rendszereket támad, iOS rendszerű készülékek esetén adathalászat keretein belül iPhone készülék nyerési lehetőséget kínál.

——————–

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) rendkívüli tájékoztatót ad ki a látszólag csomagküldő szolgáltatóktól érkező, kéretlen SMS üzenetek útján terjesztett FluBot kártevővel kapcsolatban.

Az NBSZ NKI további vizsgálatai alapján megállapította – a 2021.03.24-én közzétett riasztáshoz[1] kapcsolódóan –, hogy a fertőzésben érintett készülékek esetén a FluBot kártevő folyamatosan figyeli a készülékeken futtatott alkalmazásokat. Amennyiben a program pénzügyi vagy kriptovalutákhoz kapcsolódó alkalmazás indítását észleli, abban az esetben az eredeti alkalmazást „elfedi” (egy ún. overlay technikával), és az eredeti alkalmazás mellett, egy az eredetihez hasonló adathalász felületet nyit meg, amely képes a felhasználói (felhasználónév, jelszó) adatok kinyerésére és továbbítására.

Az eddigi ismeretek szerint a kártevő az alábbi alkalmazások felhasználóit célozza:

  • MKB Mobilalkalmazás
  • K&H mobilbank
  • Budapest Bank Mobill App
  • OTP SmartBank
  • UniCredit Mobile Application
  • George Magyarország
  • Kripto tőzsdék, online Kriptotárcák:
  • Blockchain Wallet
  • Coinbase – Buy& Sell Bitcoin Crypto Wallet
  • Binance – Buy& Sell Bitcoin Securely
  • Blockchain Wallet

A malware vizsgálata alapján azonban a fenti lista változhat, ugyanis a célzott alkalmazások listája nincs előre rögzítve a kártevőben.

Az NBSZ NKI a FluBot fertőzésekkel kapcsolatban az alábbi sorrendben feltüntetett összes lépés megtételét javasolja:

  1. FluBot Malware Uninstall[2] nevű alkalmazás letöltése a Google Play Áruházból, majd telepítése.
  2. A fertőzött készülék Wi-Fi és mobil adatkapcsolatának leállítása.
  3. A képernyőn megjelenő utasítások követése.
  4. Az utasításokat követve, a rosszindulatú alkalmazás eltávolítása.
  5. A képernyőn megjelenő lépések végrehajtásával az alapértelmezett indítóválasztás visszavonása.
  6. FluBot Malware Uninstall” nevű alkalmazás eltávolítása.

 

Amennyiben a „FluBot Malware Uninstall” nevű alkalmazás segítségével a fertőzés nem szűntethető meg, abban az esetben javasolt:

  1. a készüléken tárolt adatokról (pl. fényképek, kontaktok, stb.) biztonsági mentés készítése, majd
  2. a készülék gyári beállításokra történő visszaállítása.

 

Az NBSZ NKI munkatársai a „FluBot Malware Uninstall” nevű alkalmazás működését a következő verziókon tesztelték:

  • Android 8.1;
  • Android 9.0;
  • Android 10.1;
  • Android 11.0.

 

[Tájékoztató letöltése]

 

[1] https://nki.gov.hu/figyelmeztetesek/riasztas/riasztas-csomagkuldo-szolgaltatok-nevevel-visszaelo-malware-terjesztessel-osszefuggo-sms-uzenetekkel-kapcsolatban/

[2] https://play.google.com/store/apps/details?id=space.linuxct.malninstall


Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »