Atacurile de tip Flubot sunt reprezentate de o variantă de malware, în special pentru Android care fură informații delicate prin intermediul unor SMS-uri trimise către utilizatorii din România.
În ultima perioadă utilizatorii primesc notificări de tip SMS, nesolicitate, în care erau informați ca ar urma să primească un pachet prin curier rapid sau erau informați ca au un mesaj vocal neascultat, mesaj însoțit de linkul unde puteau asculta mesajul vocal primit, dar și mesaje în care se specifică ca utilizatorul a fost selectat pentru un job, mesaj însoțit de un link în care se găsesc informații legate de job.
În spatele acestor mesaje se află o tentative de atac de phishing, în care atacatorii încearcă sa extraga date sensibile de la utilizatori. Acest atac de tip malware se activează în momentul în care mediul de pe care se face click este unul cu un sistem de operare de tip Android.
Mesajele sunt create astfel încât să pară a veni de la un serviciu de curierat sau un serviciu de mesagerie vocala și furnizează un link pentru instalarea unor aplicații de urmărire a comenzilor sau de ascultarea si salvarea unor mesaje vocale. De fapt, utilizatorul nu instalează o aplicație legitimă, în realitate pe dispozitiv instalându-se o variantă de malware denumită Flubot.
Malware-ul este o tipologie de fraudă care apelează la aplicații software ce au rolul de a instala fără știința posesorului telefonului în cauză coduri pentru colectare de date asociate cardurilor bancare, accesarea rețelei, interceptarea datelor transmise și alte informații personale.
FluBot poate primi comenzi prin intermediul unui server de comandă și control (C&C), inclusiv comenzi pentru dezinstalarea aplicațiilor, blocarea cardului, trimiterea mesajelor SMS, deschiderea adreselor URL (adresele site-ului), extragerea listelor de contacte, dezactivarea Google Play Protect și diverse alte comenzi.
Acest tip de atac este des întâlnit în România el vizând utilizatorii sistemului de operare de tip Android. Pentru celelalte cazuri în care utilizatorii folosesc alte tipuri de sisteme de operare, atacatorii redirecționează eventualele victime către anumite site-uri care găzduiesc campanii de tip scam. Pentru răspândirea rapidă către alte eventuale victime, acest tip de atac malware obține accesul la contactele din telefonul victimei, cărora le trimite aceleași mesaje menționate mai sus.
Cum putem evita infectarea device-ului cu acest tip de malware?
În primul rând, trebuie să avem în vedere:
- Verificarea în detaliu a expeditorilor, conținutului mesajelor, link-urilor și fișierelor primite;
- Instalarea unui antivirus de la surse de încredere care să fie updatat constant;
- Căutarea numărului de telefon al expeditorului pe Google în cazul în care nu am mai avut contact cu acesta (numeroase website-uri pot arăta dacă numărul este asociat unui atac de tip phishing);
- Evitați accesarea link-urilor și deschiderea atașamentelor provenite din surse necunoscute;
- Acordați permisiuni aplicațiilor mobile în mod punctual și în funcție de necesități;
- Verificați și gestionarea periodică a permisiunilor aplicațiilor mobile;
- Utilizați soluții antivirus și actualizați constant semnăturile acestora (update);
- Activați opțiunea de verificare a securității aplicațiilor mobile instalate și a opțiunii de blocare a celor din surse necunoscute;
- Actualizați sistemul de operare la ultima versiune compatibilă cu sistemul utilizat;
- Utilizați o soluție de securitate (antivirus) pe dispozitiv;
- Dacă realizați că ați căzut victimă acestui tip de atac evitați cu orice preț autentificarea pe conturi fără a realiza o resetare din fabrică a dispozitivului sau recuperarea datelor dintr-un backup creat după instalarea aplicației malițioase.
Dacă din greșeală link-ul din SMS a fost accesat, iar aplicația malware a fost instalată, este necesară o resetare imediată a telefonului la setările din fabrică. Se recomandă să nu se închidă dispozitivul mobil, ci să se încerce eliminarea cât mai rapidă a virusului.
Dacă linkul nu a fost accesat, se recomandă ștergerea SMS-ului.
Pașii pentru protejarea contului de internet banking în cazul unui atac de tip malware
Dacă am descărcat o aplicație malware, experții în securitate cibernetică ne sfătuiesc să:
- Nu accesăm aplicația de online banking pe care o folosim de pe telefonul expus la virus;
- Resetăm parola aplicației de internet banking de pe un alt device decât cel infectat;
- Resetăm complet telefonul afectat la setările din fabric;
- Nu efectuăm o copie de rezervă înainte de revenirea la setările din fabrică (aceasta va implica și o copie a malware-ului);
- Verificăm ultimele tranzacții efectuate;
- Contactăm banca dacă observăm tranzacții pe care nu le-am procesat;
- Blocăm cardurile cât mai rapid dacă există suspiciunea unei afectări a datelor acestora.

