Banki mobilalkalmazásokat imitáló kártevőre figyelmeztet a Kibervédelmi Intézet
2021.03.26

Az NBSZ NKI vizsgálatai alapján megállapította, hogy az SMS linkjén található malware képes hozzáférni a megfertőzött készülék SMS küldési lehetőséghez. Emellett a fertőzésben érintett készülékek esetén egy FluBot kártevő folyamatosan figyeli a készülékeken futtatott alkalmazásokat.

A bűnözők a csaló üzenethez hasonló, vagy azzal azonos üzeneteket tudnak küldeni más hívószámokra. A fertőzött készülék kimenő üzenetei között ugyanakkor nem látható az alkalmazás által elküldött SMS.

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) két napja riasztást adott ki a megnövekedett számú, kéretlen szöveges üzenetek útján terjedő, látszólag csomagküldő szolgáltatóktól érkező, káros hivatkozást tartalmazó SMS üzenetekkel kapcsolatban. Az SMS üzentekben be nem fizetett szállítási díj vonatkozásában próbálnak meg pénzt, illetve adatokat megszerezni, valamint egyes esetekben Android operációs rendszerű eszközökre veszélyes káros kód letöltést végrehajtatni a felhasználóval.

Az NBSZ NKI további vizsgálatai alapján megállapította, hogy a fertőzésben érintett készülékek esetén a FluBot kártevő folyamatosan figyeli a készülékeken futtatott alkalmazásokat. Amennyiben a program pénzügyi vagy kriptovalutákhoz kapcsolódó alkalmazás indítását észleli, abban az esetben az eredeti alkalmazást „elfedi” (egy ún. overlay technikával), és az eredeti alkalmazás mellett, egy az eredetihez hasonló adathalász felületet nyit meg, amely képes a felhasználói (felhasználónév, jelszó) adatok kinyerésére és továbbítására.

Az eddigi ismeretek szerint a kártevő az alábbi alkalmazások felhasználóit célozza:

  • MKB Mobilalkalmazás
  • K&H mobilbank
  • Budapest Bank Mobill App
  • OTP SmartBank
  • UniCredit Mobile Application
  • George Magyarország
  • Kripto tőzsdék, online Kriptotárcák (Blockchain Wallet, Coinbase – Buy& Sell Bitcoin Crypto Wallet, Binance - Buy& Sell Bitcoin Securely)

A malware vizsgálata alapján azonban a fenti lista változhat, ugyanis a célzott alkalmazások listája nincs előre rögzítve a kártevőben.

Az NBSZ NKI a FluBot fertőzésekkel kapcsolatban az alábbi sorrendben feltüntetett összes lépés megtételét javasolja:

  1. „FluBot Malware Uninstall” 2 nevű alkalmazás letöltése a Google Play Áruházból, majd telepítése.
  2. A fertőzött készülék Wi-Fi és mobil adatkapcsolatának leállítása.
  3. A képernyőn megjelenő utasítások követése.
  4. Az utasításokat követve, a rosszindulatú alkalmazás eltávolítása.
  5. A képernyőn megjelenő lépések végrehajtásával az alapértelmezett indítóválasztás visszavonása.
  6. „FluBot Malware Uninstall” nevű alkalmazás eltávolítása.

Amennyiben a „FluBot Malware Uninstall” nevű alkalmazás segítségével a fertőzés nem szüntethető meg, abban az esetben javasolt a készüléken tárolt adatokról (pl. fényképek, kontaktok, stb.) biztonsági mentés készítése, majd a készülék gyári beállításokra történő visszaállítása.