VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#036-2021] [TLP:CLEAR] Ny omfattende SMS-kampanje med FluBot

02-06-2021

JustisCERT ønsker å varsle om en ny og mer omfattende runde med FluBot SMS [1] [2] [3]. Mange av SMSene er nå skrevet på norsk og tekstene er mer variert, f.eks.:

  • Karantene Reglene fra FHI: [lenke til nettsted med skadevaren FluBot]
  • Ny koronainformasjon [lenke til nettsted med skadevaren FluBot]
  • DHL: Your parcel is arriving, track here[lenke til nettsted med skadevaren FluBot]
  • Book a delivery date for your order at [lenke til nettsted med skadevaren FluBot]
  • UPS Norway AS kundefordring. Til betaling: [beløp] [lenke til nettsted med skadevaren FluBot]
  • Hei Vedlagt finner du din ordre. [lenke til nettsted med skadevaren FluBot]
  • Sent from [lenke til nettsted med skadevaren FluBot]
  • Boder vil bli sikret Hilsen Styret. Les mer på [lenke til nettsted med skadevaren FluBot]

 

Både Android og iOS-enheter kan motta FluBot SMS. Når en FluBot-lenke åpnes vil innholdet tilpasse seg type enhet den åpnes fra og nettsidens språk/innhold kan tilpasses lokasjonen på enheten (f.eks. informasjon om stedet/byen du befinner deg i dersom nettleseren har tilgang til posisjonsdata).

  • Android-enheter ledes til en nettside som forsøker å installere FluBot skadevare. Ved installasjon vil FluBot stjele meldinger/e-post/data fra den infiserte Android-enheten.
  • iOS/iPadOS ledes til en phishingside, en «konkurranse» der bruker oppfordres til å legge inn persondata og kortinformasjon.
  • Andre enheter (f.eks. Windows, macOS, Linux) vil kun bli videresendt til google.com og får dermed ikke sett nettsiden med skadevare/phishing. Det gjør det vanskeligere for antimalware/urlfilter-produkter å oppdage skadevaren/phishingsidene og blokkere disse.

 


Berørte produkter er:

  • Enheter med Android operativsystem (kan få FluBot malware installert)
  • Enheter med iOS/iPad operativsystem (kun utsatt for phishing, ikke FluBot malware)



Anbefalinger:

  • Ikke installer applikasjoner utenfor Google Play og Apple App Store
  • Aktiver Google Play Protect på enheter som støtter dette [4]
  • Lær opp alle i virksomheten til å kjenne igjen/avsløre svindelforsøk
  • Unngå å trykke på ukjente lenker. Gå heller direkte til den offisielle nettsiden og oppsøk ønsket informasjon derfra.
  • Sørg for at enheter som benyttes mot virksomhetens ressurser får sikkerhetsoppdateringer og er oppdatert
  • Erstatt enheter som ikke lenger får sikkerhetsoppdateringer og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Dersom en Android-enhet har blitt infisert:
    • Eksporter bilder og annet innhold det er ønskelig å ta vare på til f.eks. en PC
    • En infisert enhet må tilbakestilles til fabrikkinnstillinger og oppdateres før den tas i bruk igjen
    • Sikkerhetskopien du eventuelt legger inn må være fra før skadevaren ble installert
    • Bruker av enheten må bytte passord på alle av virksomhetens tjenester som er benyttet på den infiserte enheten
    • Bruker av enheten bør bytte passord på alle andre tjenester som er benyttet på den infiserte enheten
    • Bruker av enheten bør varsle banken for å sperre de kort som er benyttet på enheten
    • Om enheten inneholdt virksomhetsdata må det vurderes hvilken skade det kan medføre at disse data nå kan være sendt til en angriper
    • Ved persondata på avveie skal Datatilsynet varsles innen 72 timer

 


Kilder:

[1] [JustisCERT-varsel] [#025-2021] [TLP:HVIT] FluBot Android Malware: Pågående SMS-kampanje

[2] https://www.online.no/sikkerhet/flubot-android-malware

[3] https://www.ncsc.gov.uk/guidance/flubot-guidance-for-text-message-scam

[4] https://support.google.com/android/answer/2812853