Ország-világ

2021.03.26. 10:27

Erre vigyázzunk: így fertőzi a mobilunkat az SMS-ben kapott vírus

A rendőrség után a nemzetbiztonsági szakszolgálat is figyelmeztetést adott ki a látszólag csomagküldő szolgáltatóktól érkező SMS-kártevővel kapcsolatban.

Forrás: Shutterstock

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) kiadta a riasztást, és ábrákkal, leírásokkal segíti a szerte Európában és már hazánkban is sok áldozatot szedő kártevő elkerülését.

A lényeg, röviden: az SMS-ben érkező, hamis értesítést – olyan csomagról, amit sohasem rendeltünk meg – érdemes azonnal, olvasatlanul törölni. A kártevő akkor fertőz, ha a hamis oldalra lépve a telefonra települ.

A szakszolgálat megállapította a káros SMS kódját vizsgálva, hogy az az úgynevezett Flubot variánsa, amely főként pénzügyi szolgáltatások/banki adatok megszerzésére specializálódott, a funkciók alapján képes egyszer használatos jelszó (One-Time-Password / OTP) adatok ellopására is.

Az SMS linkjén található malware képes hozzáférni a megfertőzött készülék SMS küldési lehetőséghez. Így a bűnözők a csaló üzenethez hasonló, vagy azzal azonos üzeneteket tudnak küldeni más hívószámokra.

A fertőzött készülék kimenő üzenetei között ugyanakkor nem látható az alkalmazás által elküldött SMS.

Az SMS üzenetekben gyakran be nem fizetett szállítási díjra hivatkozva próbálnak meg pénzt, illetve adatokat megszerezni, valamint egyes esetekben Android operációs rendszerű eszközökre veszélyes káros kódletöltést végrehajtatni a felhasználóval.

Az SMS üzenetek főbb jellemzői

A csaló üzenetet küldők a legtöbb esetben az SMS szövegében elhelyezett hivatkozás megnyitására igyekeznek rávenni a címzettet, például egy küldemény nyomon követésére hivatkozva.

Egy ilyen üzenet jellemző tartalma:

„Megérkezett a csomagja, kövesse nyomon itt: https://(változó hivatkozás)”

Az eddigi adatok alapján minden esetben magyar mobilszolgáltató hálózatából érkeztek az üzenetek. Fontos kiemelni, hogy az SMS-ekben szereplő URL-ek dinamikusan változnak.

A támadás menete

Amennyiben az áldozat megnyitja az üzenetben kapott hivatkozást, egy csaló weboldal jelenik meg, amely sok esetben rendkívül jól utánozza a megszemélyesített cég valódi bejelentkezési felületét ─ például logók, színek, tipográfiai jellemzők ─ felhasználásával.

Gyakran például a FedEx másolata jelent meg:

Ezek a káros oldalak egy alkalmazás telepítésére próbálják rávenni az áldozatot ─ a megtévesztés szerint a csomagküldemény nyomon követéséhez.

Azonban, ha a felhasználó letölti a feltételezett alkalmazást az eszközre, egy

adatlopó képességekkel felruházott Trójai vírus települ a mobilra.

A vírus telepítése után majdnem minden szolgáltatáshoz hozzátudnak férni, mint például: SMS, MMS írás, küldés, Internet, Bluetooth, NFC, telefonkönyv stb.

Fertőzés esetén az NBSZ NKI azt javasolja, hogy az érintett eszközön haladéktalanul végezzenek el egy gyári visszaállítást.

Frissítés: Több százezer érintettje lehet Magyarországon a csomagküldős SMS-csalásnak

Akár több százezer érintettje is lehet a csalásnak Magyarországon, de a kárt szenvedők száma valószínűleg elenyésző – mondta a Készenléti Rendőrség Nemzeti Nyomozó Iroda kiberbűnözés elleni főosztálya felderítő osztályának vezetője pénteki online sajtótájékoztatóján.

Halász Viktor közölte: két napja kaptak először bejelentéseket az SMS-ben, androidos készülékeken terjedő vírus – úgynevezett FluBot malware-rel (rosszindulatú szoftverrel) kapcsolatban. Hozzátette,

sokan kattintottak a linkre, így a FluBot települt a telefonjukra.

Kifejtette, hogy a káros program forráskódjának elemzéséből kiderült, nagyon „szofisztikált” vírusról van szó: a nyomozóknak nem elegendő megtalálniuk az úgynevezett vezérlőszervert, amellyel a program kommunikál, hanem több ezer szerver közül kell kiválogatni azt, amelyet az elkövetők éppen használnak.

Az osztályvezető elmondta azt is, mivel a vírus titkosított csatornán kommunikál, pontosan nem tudják, hogy milyen információkat oszt meg az elkövetőkkel. A forráskódból azonban megállapítható:

az alapvető feladata, hogy lemásolja a banki, illetve a kriptovaluta felhasználói fiókokhoz kötődő felületeket és megszerezze például a belépési kódokat.

A rendőrség információs rendszer vagy adat megsértésének bűncselekménye miatt indított nyomozást az ügyben. Halász Viktor elmondta: felvették a kapcsolatot az Interpollal, mert nemzetközi bűnözői kör állhat a kártékony program mögött.

Hozzátette, a spanyol hatóságok március elején letartóztattak több embert, aki részt vett a vírus terjesztésében. A letartóztatásig 60 ezer telefont fertőztek meg és mintegy 11 millió telefonszánhoz fértek hozzá Spanyolországban. Bár a rendőrségi akció után megtorpant a vírus terjedése, néhány nappal később megint aktivizálódott, ami arra utal, hogy még több elkövető lehet.

Arról egyelőre nincs információ, hogy az elkövetők között lennének magyarok is – mondta kérdésre válaszolva az osztályvezető.

Mivel a hatóságok gyorsan reagáltak és figyelmeztették az embereket,

valószínűleg sikerült megelőzni a nagyobb bajt, és a megfertőzött eszközök száma alacsony maradhatott

– tette hozzá.

Halász Viktor hangsúlyozta, egyelőre nem kaptak arról bejelentést, hogy valóban visszaéltek volna valamely cég vagy magánszemély banki adataival, illetve a kriptovaluta-tárcájából emeltek volna le összegeket. Olyan információkat azonban kaptak, hogy egy adott telefonról mintegy 1700 SMS-t küldött ki a vírus.

Kérte, hogy akit a csalók megkárosítottak, jelentkezzen a [email protected] címen.

Bor Olivér, a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézetének (NBSZ NKI) szóvivője az online sajtótájékoztatón azt mondta, két nap alatt több mint 2500 bejelentést kaptak a SMS -ben terjedő „káros kódról”.

A szóvivő hangsúlyozta, ha valaki már rákattintott a linkre, a legbiztosabb megoldás, hogy visszaállítja a telefont az eredeti, gyári állapotra. Az érintetteknek érdemes megváltoztatniuk a banki felületeikhez tartozó jelszavaikat is – figyelmeztetett Bor Olivér.

Hozzátette, hogy az NBSZ NKI honlapján elérhető egy olyan applikáció, amellyel le lehet törölni a káros programot, de ha ez nem hatásos, akkor az egyetlen megoldás a gyári állapotra visszaállítás marad.

Borítóképünk illusztráció

Hírlevél feliratkozás
Ne maradjon le a kemma.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!