Kampanie fałszywych SMS-ów ze złośliwym oprogramowaniem Flubot
12 kwietnia 2022 | CERT Polska
Szczególnie narażeni użytkownicy Użytkownicy systemu Android
Wektor ataku Wiadomości SMS
Możliwe skutki Utrata kontroli nad telefonem, wyciek danych
Atakowane platformy Android

Schemat działania

1. Wiadomość SMS z wybranym scenariuszem

Korzystając z zainfekowanych telefonów, przestępcy rozsyłają wiadomości SMS z informacją o konieczności podjęcia działań wraz z linkiem do złośliwej strony.

Szablony wiadomości są różne i są często zmieniane w celu uśpienia czujności użytkowników i ewentualnego obejścia systemów filtrujących.

Najczęściej używane wzorce to między innymi:

  • Twoja paczka znajduje sie w punkcie odbioru, znajdz adres tutaj: <link>
  • Podjelismy probe dostarczenia Twojej paczki, sprawdz jej status tutaj: <link>
  • Masz (1) zalegla paczke! Ref: DHL-6461W Ostatnia szansa, aby odebrac > <link>
  • Masz 1 nowa wiadomosc(y) glosowa(e). Aby uzyskac szczegolowe / informacje, odwiedz <link>
  • DHL, status przesylki zmieniony, sprawdz tutaj: <link>
  • Otrzymales wiadomosc MMS. Przeczytaj tutaj: <link>
  • Twoja paczka jest w drodze, kliknij ponizszy link, aby sledzic: <link>
  • Otrzymales nowe powiadomienie od swojego dostawcy uslug: <link>

2. Fałszywa strona

Po kliknięciu na załączony link, użytkownik zostaje przeniesiony na fałszywą stronę potwierdzającą treść wiadomości. W celu uwiarygodnienia strony, przestępcy mogą również posługiwać się znajomością numeru ofiary poprzez np. wyświetlenie go na stronie albo umieszczenie loga operatora.

Żeby jednak wykonać rzekomą akcję użytkownik jest zachęcany do pobrania oraz zainstalowania aplikacji, która tak na prawdę jest złośliwym oprogramowaniem.

3. Instalacja złośliwego oprogramowania

Jeśli użytkownik zgodzi sie na pobranie i zainstalowanie aplikacji to po uzyskaniu odpowiednich uprawnień przejmuje ona kontrolę nad urządzeniem. Przejawia się to tym, że np. nie pozwoli ona na odinstalowanie jej z poziomu systemu poprzez zamykanie okienka z ustawieniami systemu. Oprócz umocowania się w systemie, zaczyna ona również wykradać dane z telefonu i jeśli nadarzy się ku temu okazja, wykradać środki z konta bankowego.

Co zrobić w przypadku kliknięcia linku

Otrzymaliście wiadomość SMS i zastanawiacie się, czy Wasz telefon jest bezpieczny? Wszystko zależy od tego, jak zareagowaliście na ten SMS:

  • Odczytaliście wiadomość, ale nie weszliście w link.
    • Jesteście bezpieczni i nic nie musicie robić.
  • Weszliście na stronę, ale nie pobraliście aplikacji.
    • W tym wypadku jesteście bezpieczni i nie musicie podejmować żadnych dodatkowych działań.
  • Pobraliście aplikację, ale jej nie zainstalowaliście.
    • Wystarczy, że usuniecie pobrany plik.
  • Zainstalowaliście aplikację.
    • Włącz tryb samolotowy w telefonie. Złośliwa aplikacja nie będzie mogła wysyłać SMS-ów i kontaktować się z serwerami przestępców.
    • Sprawdź swoje konto bankowe czy nie doszło na nim do nieuprawnionych operacji. Nie używaj do tego zainfekowanego telefonu. Jeśli doszło do kradzieży środków - skontaktuj się z bankiem i zgłoś sprawę na policję.
    • Stwórz kopię danych z telefonu, np. zdjęć, filmów, pobranych dokumentów. Kopię danych możesz zrobić np. przez kabel USB.
    • Przywróć telefon do ustawień fabrycznych. Uwaga, spowoduje to wykasowanie wszystkich danych z telefonu, dlatego ważne jest stworzenie kopii zapasowej Twoich danych. Po przywróceniu ustawień fabrycznych możesz przywrócić kopię swoich plików.
    • Zmień hasła do wszystkich kont, które były wykorzystywane na telefonie.
    • W związku tym, że oprogramowanie wykrada kontakty w celu dalszych infekcji możesz wziąć pod uwagę poinformowanie znajomych o możliwym narażeniu na SMS-y ze złośliwym oprogramowaniem.

Ostrzeżenia