Az ESET kibervédelmi cég és a Nemzeti Kibervédelmi Intézet szakemberei is közzétették, mit tehetünk a csaló SMS-ek által terjesztett vírus kiszűrésére, illetve azt is, mit tehet, aki már letöltötte az adatlopó alkalmazást.
Új csalássorozat terjed hazánkban, amely a járvány és a korlátozó intézkedések hatására egyre népszerűbb házhozszállítást igyekszik kihasználni. Ezúttal nem csak pár ezer embert érintő trükközésről van szó, pénteki adatok szerint már több százezer csaló SMS terjeng az országban. (Van olyan áldozat is, akinek telefonja a fertőzés után már 1700 kártékony üzenetet küldött tovább.) Az ESET internetbiztonsági termékeit forgalmazó Sicontact Kft. által közreadott tájékoztatás szerint az elmúlt napokban hozzájuk is több olyan megkeresés érkezett, melynek tárgya a magyar nyelvű, „Megerkezett a csomagja, kovesse nyomon itt” szövegezésű üzenet. A jelenségre a mobilszolgáltatók mellett már a rendőrség, illetve a Nemzetbiztonsági Szakszolgálat kibervédelmi szakemberei is felhívták a figyelmet.
„A tapasztalatok alapján 20-as és 30-as hazai számokról érkeznek az üzenetek, de nem kizárt, hogy 70-es telefonszámról is érkezik ilyen üzenet” – részletezte Csizmazia-Darab István, a Sicontact IT-biztonsági szakértője. A szövegben aelső gyanús jel, hogy a linkekben szereplő idomainnevek nem hasonlítanak egyik létező csomagküldő szolgálat webcíméhez sem, bár van, amelyikben szerepel a „track”, azaz nyomkövetés szó. További, adathalász próbálkozásokra jellemző intő jeleket is felismerhetünk, mint például a gyenge helyesírás, a hiányzó ékezetek.
A csomagunk nyomkövetésére felszólító SMS minden esetben tartalmaz egy linket, amelyet megnyitva látszólag egy ismert futárszolgálat oldalára kerülünk. Itt arra kérnek minket, hogy a csomagunk nyomon követeséhez töltsünk le és telepítsünk egy alkalmazást. Ha így teszünk, egy „.apk” kiterjesztésű fájl töltődik le a telefonunkra, amely kártevőt tartalmaz.
A Sicontact jelenlegi információi alapján a telepítés után az adatlopó program egy távoli szerverre továbbítja a készüléken található, a kártékony kód által összegyűjtött személyes adatokat. A megszerzett adatok között akár jelszavak, címjegyzékek, banki azonosító adatok is lehetnek.
Mit tegyünk, ha ilyen SMS-t kapunk?
A tapasztalatok eddig azt mutatják, hogy az SMS megnyitása önmagában nem veszélyes. Több esetben a link megnyitásakor maga a Chrome böngésző figyelmeztet, hogy az adott weboldalt már többen is gyanúsnak jelentették. Emellett a legbiztosabban a naprakész vírusvédelmi programok fogják meg ezeket a próbálkozásokat.
Az ESET közleményében a vállalat saját, Mobile Security nevű programját hozza példának, amely az „Android/TrojanDropper.Agent.HNJ” néven azonosította és blokkolta a fedex.apk nevű alkalmazást, amelyet egy ilyen gyanús linkről letöltöttek. A telepítés és a felismerés pillanata látható az alábbi képernyőképeken.
Ha már letöltöttük és telepítettük a kártékony alkalmazást, akkor a gyári állapotra való visszaállítás jelenthet biztos megoldást. Ezt azonban csak végszükség esetén érdemes alkalmazni, hangsúlyozza az ESET közleménye, ugyanis ezzel a módszerrel minden adatunk és fájlunk törlődik a telefonról. Érdemes első lépésben letöltenünk egy ismert, megbízható vírusvédelmi programot, és egy teljes ellenőrzést futtatnunk az eszközön – a legtöbb esetben ez elvégzi a kártevő teljes eltávolítását.
Fontos megjegyezni, hogy egyik módszer sem képes arra, hogy a már ellopott, illetéktelen kezekbe került adatainkat visszahozza, így érdemes lehet a bankunkat is értesíteni a történtekről.
A fertőzéshullám kapcsán a Nemzeti Kibervédelmki Intézet összeállított egy úmutatót az androidos (8.1, 9.0, 10.1 és 11 verziószámú) készülékekhez. A telekommunikációs vállalat által javasolt lépések a következők:
A FluBot Malware Uninstall nevű alkalmazás letöltése (kizárólag) a Google Play áruházból, majd ennek telepítése.
A fertőzött készülék wifi- és mobiladat-kapcsolatának leállítása.
A képernyőn megjelenő utasítások követése.
Az utasításokat követve a rosszindulatú alkalmazás eltávolítása.
A képernyőn megjelenő lépések végrehajtásával az alapértelmezett indítóválasztás visszavonása.
A „FluBot Malware Uninstall” nevű alkalmazás eltávolítása.