Sárkány ellen sárkányfű

2021. április 06. 12:23 - Csizmazia Darab István [Rambo]

A múlt heti Fedex nevével visszaélő "Megerkezett a csomagja, kovesse nyomon itt" SMS spam hullám komoly zűrzavarokat okozott, némely felhasználó esetében pedig konkrét, számszerűsíthető veszteséget is okozott. A kártevő sikeres eltávolítását némiképp bonyolítja, hogy a korábban a Készenléti Rendőrség Nemzeti Nyomozó Iroda (KR NNI) munkatársai által is jó szívvel ajánlott FluBot Malware Uninstall nevű alkalmazás időközben sajnálatos módon eltűnt a Google Play áruházból. Mutatjuk, mi lehet a megoldás.

Elöljáróban arra érdemes kitérni, hogy néhány korábbi cikk tévesen azt állította, hogy a Google saját piacterén található FluBot Malware Uninstall kártékony lenne. Valójában viszont ez volt az ellenszer, ugyanis eltávolította a hamis fedexes vírusos alkalmazást, amit éppen a gyanútlan áldozatok által megadott sok engedély miatt nehéz volt eltávolítani.

A Google Playről való kikerülés okára a program készítője egy időközben eltávolított Twitter posztban utalt, "nehézfejűségre" utalva: "The updates are both in queue for @GooglePlayDev to approve. Most likely, they won't reach the production state in Play Store until Monday or Tuesday, which means GitHub is the only place to get the latest version as of right now. Thanks for the unnecessary bureaucracy, Google!" Érdekesség még, hogy ez a tömeges SMS spam hullám a magyarországi terjedéssel egyidőben Németországban, valamint Lengyelországban is megjelent.

A hivatalos piactérről való eltűnés után az eltávolító alkalmazás kikerült a Github weboldalra, ott forráskóddal együtt máig elérhető. Igaz, ha valaki az SMS fertőzésből csak annyit jegyzett meg, hogy csak a Google Play oldaláról telepítsünk alkalmazásokat, külső forrásból soha, akkor most lehet, hogy gyanakodva vagy elutasítóan fogadta ezt a szintén csak külső forrásból letölthető, és kézzel telepítendő elviekben megbízható mentesítő programot is.

A Linuxct nevű fejlesztő emiatt aztán közreadott egy megkerülő (workaround) megoldást is, amelyben egy másik hivatalosan letölthető alkalmazás segítségével is meg lehet szabadulni a kártevőtől az útmutató lépéseinek segítségével.

Azt, hogy miért nehézkes a banki adatokat ellopó Flubot malware eltávolítása, arról a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet munkatársai által ehhez a témához készített podcast adásból lehet többet megtudni. Ennek lényege, hogy ha valakinél korábban már eleve telepítve volt vírusvédelmi alkalmazás, az nem fertőződhetett meg ezzel az átveréssel. Kivétel az az eset, ha valaki a vírusvédelmi programok freemium változatát használta, és nem frissített vírusismereti adatbázist rendszeresen, az ingyenes verziókban ugyanis gyakori, hogy nem automatikusan frissül, hanem manuális kell azt mindig elvégezni.

A Fedex vírus esetében a fő problémát az úgynevezett "Accesibility services" engedélyezése okozta, ugyanis ekkor ez az opció a védelmi programok elől elrejti a futó kártékony szolgáltatást, a kártevő hozzáfér a banki SMS-einkhez is, valamint a szokásos sima törlés uninstall ekkor nem működik.

Mi most viszont az ESET vírusvédelmi laborjának megbízható ismertetőjét mutatjuk, amely ennek a nehézkesen eltávolítható Flubot SMS kártevőnek a törlését mutatja be egyszerűen lépésről lépésre egy Youtube videó formájában.

Ennek lényege, hogy ha gyaníthatóan fertőzött a telefonunk, és a futó folyamatok között megtaláljuk a Fedexes vagy bármilyen más gyanús szervizt, akkor Safe módban kell újraindítani az eszközt, mert ebben csak a gyári alkalmazások élednek fel. Ekkor már lehetséges lesz a kártékony program eltávolítása.

Az emlegetett hazai anyagi károk között kétféle esetről is napvilágot láttak beszámolók. A Flubot telepítése után ugyanis minden a telefonunkon tárolt adatunkhoz hozzáfértek a bűnözők: az SMS-ek tartalma, a címjegyzék, kamera, mikrofon, bluetooth kapcsolat, jelszavaink, netbankhoz, kriptovaluta tárcánkhoz tartozó jelszavaink is, és a megfertőzött telefonokról hívásokat, SMS-ek (tovább)küldését is kezdeményezhették.

Emiatt aztán volt olyan magyar áldozat, akinek a bankszámláját is kifosztották, több millió forintos kárt okozva. Akit esetleg hasonló anyagi kár ért, az közvetlenül is jelentkezhet a rendőrség által megadott kiber@nni.police.hu e-mail címen.

Ám a járulékos károk ezzel még nem értek véget, ugyanis éppen a tömeges SMS küldések további anyagi veszteséget okoztak, mivel a kiküldött SMS-ek pénzdíja mindig az áldozatokat terheli. Volt olyan áldozat, akinek a telefonjáról 4700 SMS üzenetet küldtek el, csak ez 35 forintjával számolva 160 ezer forintos plusz számladíjat jelent.

Ettől csak egy előre beállított SMS küldési korlát menthet meg minket, illetve mivel a saját fertőzött telefonon nem jelennek meg a kiküldött SMS üzenetek adatai, így kizárólag a szolgáltatók saját alkalmazásaiban (MyTelenor, Telekom, MyVodafone) lehet csak a valós forgalmi adatokat ellenőrizni.

És végül még egy fontos tanulsága az esetnek. A kártevő eltávolítása - akár a fenti Safe módban való törléssel, akár a saját adatok mentése után a készülék gyári állapotába való visszaállítással végezzük - a már korábban ellopott személyes adatainkat nem hozza vissza, emiatt mindenképpen érdemes a bankunkat is értesíteni a történtekről. Ajánlott a telefonos alkalmazásainkban, szolgáltatásainkban használatos jelszavaink azonnali cseréje is, beleértve a banki felületekhez tartózókat is.

A sikeres megelőzés szempontjai pedig az alábbiak lehetnek:

- Mindig figyelmesen járjunk el a kéretlen üzenetekkel
- Ellenőrizzük, valóban attól a szolgáltatótól kaptuk-e az értesítést, amelytől csomagot várunk.
- Legitim forrásból telefonra szinte soha nem küldenek internetes linket.
- Adathalász intő jelek: gyenge helyesírás, hiányzó ékezet, sürgetés vagy ígéret, mellékelt link
- Gyanakodjunk, ha nem is hasonlít az URL cím a szolgáltatókéhoz
- Ha kérik, hogy kapcsoljuk ki a biztonsági figyelmeztetéseket a mobiltelefonunkon, az is gyanús
- Csak megbízható, hivatalos forrásból telepített alkalmazások pl. Google Play áruház
- Blokkoljunk minden egyéb külső forrásból származó program telepítést (ez az alapértelmezett állapot, ameddig valaki át nem állítja.)
- Alkalmazások és operációs rendszer biztonsági frissítéseinek gyakori és mihamarabbi futtatása
- Vírusvédelmi szoftver, amely automatikusan blokkolja a kártékony tartalmak elérését.

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr3216491852

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

efi 2021.04.07. 17:29:34

És mire megyünk azzal, ha elküldjük az NNI-nek, hogy balekok voltunk?
Továbbá én csak prepaid előfizetést használok, ott soha nem fog előfordulni, hogy százezreket elsmsezik a telefon suttyomban.
süti beállítások módosítása