TRUSSELVURDERING (TLP HVIT)

[JustisCERT-varsel] [#025-2021] FluBot Android Malware: Pågående SMS-kampanje

29-04-2021

JustisCERT ønsker å varsle om en økende spredning av FluBot skadevare [1] [2] [3]. Skadevaren sprer seg via lenker i SMS som sendes til både Android og iOS-enheter, men det er kun Android-enheter som kan bli infisert. Flere i justissektoren har mottatt slike SMS. Hendelsesforløpet ved en vellykket installasjon av skadevaren FluBot er slik:

1.    Mottaker får en SMS fra det som i mange tilfeller vil være en kjent avsender (se punkt 8). SMS som JustisCERT har observert i justissektoren er skrevet på engelsk, men finnes i ulike språkdrakter. SMS forteller at en pakke er på vei og inneholde gjerne navn på et transportselskap (som DHL, FedEx, Royal Mail, Correos, osv) eller andre kjente nettbutikker for å virke mer troverdig/overbevisende.
2.    SMS inneholder en lenke som mottaker blir oppfordret til å besøke for sporing av pakken/leveringen.
3.    Dersom mottaker klikker på SMS-lenken vises en svindelnettside med logoen/designet til et transportselskap (som DHL, FedEx, Royal Mail, Correos, osv). JustisCERT har observert at nettsidene leveres på flere språk, blant annet engelsk, spansk, tysk, tyrkisk og polsk. Vær oppmerksom på at angriper tilpasser seg markedet de opererer i, så det kan dukke opp slike svindelnettsider med f.eks. Posten/Bring-design og norsk språkdrakt.
4.    For å spore pakken må mottaker klikke på «Download application» som vil forsøke å installere en .APK-fil (en App) via en 3. parts app-butikk (dvs. ikke fra Google Play).
5.    Normalt vil ikke mottaker få lov til dette uten videre, så nettsiden veileder mottaker i å skru av viktige sikkerhetsinnstillinger på Android-enheten slik at den skadelige appen kan installeres korrekt.
6.    Dersom mottaker følger veiledningen vil den skadelige appen bli installert. Appen har typisk logoen/designet til DHL, FedEx, Royal Mail, Correos, men misbruk av logo/design til andre kjente selskap er også observert, f.eks. Google.
7.    Den skadelige appen vil stjele data fra Android-enheten den er installert på og sende dette til angriper regelmessig, f.eks. alle SMS, kontakter, e-post, passord, brukernavn, kortinformasjon, med mer.
8.    Android-enheter infisert med FluBot skadevare vil sende SMS til alle i kontaktlisten på enheten for å spre seg.


Berørte produkter er:
•    Enheter med Android operativsystem


Anbefalinger:
•    Lær opp alle i virksomheten til å kjenne igjen/avsløre svindelforsøk
•    Varsle ansatte om den pågående Android FluBot trusselen (spesielt viktig dersom Android benyttes mot virksomhetens ressurser)
•    Sørg for at enheter som benyttes mot virksomhetens ressurser får sikkerhetsoppdateringer og er oppdatert
•    Erstatt enheter som ikke lenger får sikkerhetsoppdateringer og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
•    Benytt en Mobile Device Management (MDM)-løsning for å sikre enheter og data på best mulig måte vha. blant annet:
o    Hindre at utdaterte enheter kan nå virksomhetens ressurser
o    Hindre jailbreak/rootede enheter i å nå virksomhetens ressurser
o    Sperre for bruk av 3. parts app-butikker (tillat kun Google Play/Apple App Store)
o    Sikre at Google Play Protect er skrudd på for Android-enheter
•    Bruk MFA/2-faktor på alle internett-eksponerte påloggingstjenester som virksomheten tilbyr
•    Informer alle i virksomheten hvordan de kan aktivere MFA/2-faktor på andre tjenester som benyttes i jobbsammenheng/privat. Nettvett.no tilbyr brukerveiledninger for flere/ofte brukte tjenester [4].
•    Informer om interne kontaktpunkt som skal benyttes ved uønskede hendelser

•    Dersom en enhet er blitt infisert:
o    Eksporter bilder og annet innhold det er ønskelig å ta vare på til f.eks. en PC
o    En infisert enhet må tilbakestilles til fabrikkinnstillinger og oppdateres før den tas i bruk igjen
o    Sikkerhetskopien du eventuelt legger inn må være fra før skadevaren ble installert
o    Bruker av enheten må bytte passord på alle av virksomhetens tjenester som er benyttet på den infiserte enheten
o    Bruker av enheten bør bytte passord på alle andre tjenester som er benyttet på den infiserte enheten
o    Bruker av enheten bør varsle banken for å sperre de kort som er benyttet på enheten
o    Om enheten inneholdt virksomhetsdata må det vurderes hvilken skade det kan medføre at disse data nå kan være sendt til en angriper
o    Ved persondata på avveie skal Datatilsynet varsles innen 72 timer


Kilder:

[1] https://www.online.no/sikkerhet/flubot-android-malware

[2] https://www.ncsc.gov.uk/guidance/flubot-guidance-for-text-message-scam

[3] https://www.tek.no/nyheter/nyhet/i/dlEKGJ/advarer-mot-alvorlig-sms-svindel-blokkerer-5000-i-timen

[4] https://nettvett.no/2-trinns-bekreftelse