Święta Bożego Narodzenia zbliżają się wielkimi krokami. Nie ma lepszego czasu dla cyberprzestępców, chcących wykraść nasze dane logowania do banku. Wystarczy chwila nieuwagi, by zaatakował Flubot.
Do Świąt zostało tylko kilka dni. Polacy pokochali zakupy przez Internet i z niecierpliwością czekają na przesyłki z prezentami dla bliskich. W natłoku spraw do załatwienia nietrudno o czymś zapomnieć lub przegapić ważny szczegół. Cyberprzestępcy tylko na to czekają… a nawet sami ten dodatkowy stres wywołują.
W ostatnich tygodniach zauważyliśmy wzrost aktywności SMS-owej, a konkretnie falę wiadomości tekstowych o rzekomo gotowych do odbioru, niedoręczonych i odnalezionych paczkach. CERT Orange Polska ostrzega przed tymi wiadomościami. To część kampanii rozprowadzającej trojana bankowego o nazwie Flubot.
CERT Orange Polska pokazuje kilka przykładów SMS-ów, na które trzeba uważać. Niektóre z nich zdradzają się błędami lub podejrzaną interpunkcją, ale nie wszystkie:
To tylko niektóre z przykładów zebranych przez specjalistów, ale myślę, że dobrze pokazują ideę oszustwa. Wiadomości są przysyłane z numerów telefonów przypadkowych, kompletnie nieświadomych osób. Zdarza się, że w treści wiadomości cyberprzestępcy podszywają się pod prawdziwe firmy kurierskie.
Zobacz: CERT Orange Polska: ponad 3 mln prób ataków phishingowych. Nowe sposoby oszustów
Link w wiadomościach prowadzi do szkodliwej aplikacji, zawierającej trojana Flubot. Aplikacje wykorzystywane w tej kampanii przypominają prawdziwe aplikacje firm kurierskich – wcześniej był to FedEx, aktualnie głównie DHL. Sporadycznie zdarzają się również linki do nieodebranych wiadomości MMS.
Flubot to szkodliwe oprogramowanie (malware), atakujące urządzenia mobilne. Jego specjalność to wykradanie danych logowania do banku, czy to z przeglądarki, czy z aplikacji bankowej. Używa do tego nakładki – wyświetla własny formularz „nad” stroną logowania do banku i w ten sposób przechwytuje dane.
Co więcej, szkodliwa aplikacja dobiera się do SMS-ów, więc cyberprzestępcy uzyskają dostęp także do kodów jednorazowych, używanych do potwierdzania transakcji.
Od strony użytkownika nie widać różnicy, bo bankowość internetowa działa, jak należy. I tu tkwi niebezpieczeństwo – zaatakowana osoba podaje dane logowania jak na tacy i nie jest świadoma zagrożenia. Flubot wykrada także książkę adresową, by rozsyłać SMS-y do kolejnych osób, także na numery zagraniczne. To jednak mniej bolesne niż utrata oszczędności całego życia.
Obrona przed Flubotem jest możliwa. Przede wszystkim nie należy otwierać linków z podejrzanych SMS-ów, a do śledzenia swoich paczek używać oficjalnych narzędzi: aplikacji firm kurierskich z Google Play albo ich stron otwieranych ręcznie. Czujność to najpewniejsza ochrona przed cyberatakiem.
Jeśli otrzymasz SMS, warto skontaktować się z nadawcą i przekazać mu informacje o Flubocie. CERT Orange Polska prosi właścicieli zainfekowanych telefonów o kontakt. Dodatkowe informacje pomogą lepiej się zabezpieczyć przed atakami w przyszłości. Jeśli podejrzewasz, że Twój telefon został zainfekowany, bo na bilingu widzisz SMS-y do nieznanych numerów, również powinieneś skontaktować się ze specjalistami.
Warto wiedzieć, że malware sprytnie zaciera za sobą ślady. Wspomniałam wyżej, że zanim zabierze się za wykradanie danych logowania do banków, może wysłać całą książkę telefoniczną do innego zainfekowanego telefonu. I tak kontakty z telefonu A trafiają do trojana na telefonie B. Z numeru B są zaś rozsyłane SMS-y do kontaktów z książki A. Dzięki temu niemal niemożliwe jest, by ktoś dostał SMS o paczce od swojego znajomego.
Skala tego ataku jest ogromna, widzimy to w naszych systemach. Jeśli otrzymaliście podobnego SMS-a, to nie klikajcie w załączone linki! Kontaktujcie się z moim zespołem cert.orange.pl. Zachęcam szczególnie te osoby, które podejrzewają, że ich telefon został zainfekowany. W przypadku infekcji zalecamy zresetować swój telefon. Jeżeli nieznane osoby kontaktują się z Tobą z informacją, że byłeś nadawcą ww. SMS-ów daj nam znać
– radzi Robert Grabowski, szef CERT Orange Polska.
By pozbyć się Flubota z telefonu niezbędne będzie przywrócenie do ustawień fabrycznych. Zawsze dobrą praktyką jest aktualizowanie oprogramowania na telefonie, by zostały zamknięte znane luki bezpieczeństwa.
Nie jest to pierwszy raz, gdy CERT Orange Polska przestrzega przed Flubotem. W marcu specjaliści opisali kampanię, rozprzestrzeniającą malware pod przykrywką aplikacji FedEx (obecnie na tapecie jest DHL). Szkodliwa aplikacja była wtedy pobierana z adresów .ro, ale aktualnie w użyciu są też adresy niemieckie, japońskie, polskie, holenderskie i inne.
Pobrana aplikacja ma rozbudowane uprawnienia, w tym do odczytywania kontaktów oraz odczytywania, odbierania i wysyłania SMS-ów. Po zainstalowaniu prosi ponadto o dostęp do Ułatwień Dostępu, by móc rysować własny formularz „nad” ekranem aplikacji bankowej. Funkcje zaprojektowane dla niepełnosprawnych dają aplikacji bardzo szeroką kontrolę nad oknami aplikacji. Gdy użytkownik widzi aplikację domagającą się tak szerokich uprawnień bez dobrego uzasadnienia, w jego głowie powinny zawyć syreny.
Szkodliwa aplikacja może też przejąć zadania domyślnej aplikacji do obsługi SMS-ów. To kolejny argument za uaktualnianiem systemu na telefonie. Na Androidzie 9 i starszych może to zrobić bez pytania o pozwolenie… a więc bez wiedzy użytkownika.
Działania telefonów zainfekowanych Flubotem są koordynowane przez serwery Command & Control. By utrudnić blokadę komunikacji, botnet generuje dla nich losowe domeny. Wcześniejsze wersje Flubota używały do tego aktualnej daty, ale obecna (4.9) uprościła tę metodę. Pojawiło się za to tunelowanie DNS over HTTPS. Pośredniczą w tym domeny:
dns.google
cloudflare-dns.com
dns.alidns.com
dns.nextdns.io
dzięki czemu komunikacja z C&C wygląda jak zapytania do serwera nazw. Oto przykładowe zapytanie:
hxxps://cloudflare-dns.com/dns-query?name=b2b55293.0.1.IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJUIN
DCAMJZGMXDCOB.ZFYYTAMBOGIYDIIABAAXH6KXP6O7V6BBHXBWRGONSLW2IZHZSK2IHX
TL6KJ7L7I.LPA3SAKACZMBZCR4U7IHV6QV3JQRWUM3LS7UCXHSMB4JCXXDFAT57Z2QHP
EBV6A.G2XTLJJAF7MG4MTE5DNYVBOE.ucbcmjiesrpgrln.cn&type=TXT
Analitycy Orange informują, że ciąg znaków b2b55293 to losowy token, generowany dla każdej sesji, 0 oznacza, która to część większego komunikatu (tutaj pierwsza), 1 zaś to informacja, że nie będzie więcej części (2 oznacza oczekiwanie na odpowiedź, 0 informuje, że nadejdą kolejne części). Dalej znajduje się zaszyfrowany komunikat. Po przesłaniu wszystkich danych ze smartfonu zostanie wysłane jeszcze jedno zapytanie, zawierające sygnał oczekiwania na odpowiedź oraz zakodowany UUID urządzenia:
hxxps://cloudflare-dns.com/dns-query?name=b2b55293.100.2.IFCEKMRWG5BECNCGG43TIQJSGM4DQOJSHFDEIOBWIZBTOQJ
UINDA.ucbcmjiesrpgrln.cn&type=TXT
W odpowiedzi serwer C&C wyśle polecenie zaszyfrowane kluczem wygenerowanym wcześniej. Na liście możliwych poleceń można znaleźć między innymi dezinstalację aplikacji, wysłanie SMS-a, odczytanie kontaktów czy wyłączenie ochrony Play Protect:
UNINSTALL_APP
CARD_BLOCK
SMS_INT_TOGGLE
BLOCK
SOCKS
UPLOAD_SMS
OPEN_URL
RUN_USSD
DISABLE_PLAY_PROTECT
RELOAD_INJECTS
SEND_SMS
GET_CONTACTS
RETRY_INJECT
Na koniec przykład, jak może wyglądać praca na zainfekowanym telefonie, gdy otrzyma on od C&C numery telefonów i treść SMS-ów. Po znacznikach czasu widać, że co około 10 sekund wysyła kolejną wiadomość. To niesamowite tempo gwarantuje szybkie uzyskanie ogromnego zasięgu. Grupa PRODAFT dotarła do serwera C&C w Hiszpanii i oszacowała, że pozwoliło to na zainfekowanie około 60 tysięcy telefonów w 2 miesiące.
Poza tym w szkodliwej aplikacji znajduje się jeszcze komponent wykrywany jako banker, a więc wykradający dane logowania do bankowości elektronicznej. W starszych wersjach Flubota eksperci zaobserwowali też pytania wprost o numer i kod CCV karty płatniczej, rzekomo by potwierdzić wiek.
Więcej informacji, wraz z analizą kodu Flubota, znajdziesz na stronie CERT Orange Polska. Ponownie zalecamy ostrożność i uważne śledzenie przedświątecznych przesyłek.
Polska nie jest odosobniona. W obecnej kampanii SMS-y z Flubotem trafiają do 28 krajów z całego świata. Są to: Niemcy, Austria, Szwajcaria, Włochy, Hiszpania, Wielka Brytania, Australia, USA, Nowa Zelandia, Belgia, Holandia, Turcja, Portugalia, Rumunia, Finlandia, Bułgaria, Grecja, Dania, Szwecja, Norwegia, Czechy, Słowacja, Polska, Węgry, Serbia, Chorwacja, Bośnia i Hercegowina, oraz Malezja.
Artykuł powstał przy współpracy z Orange
Źródło zdjęć: Unsplash, CERT Orange Polska
Źródło tekstu: CERT Orange Polska, wł.
