VARSEL (TLP:CLEAR)
[JustisCERT-varsel] [#036-2021] [TLP:CLEAR] Ny omfattende SMS-kampanje med FluBot
02-06-2021
JustisCERT ønsker å varsle om en ny og mer omfattende runde med FluBot SMS [1] [2] [3]. Mange av SMSene er nå skrevet på norsk og tekstene er mer variert, f.eks.:
- Karantene Reglene fra FHI: [lenke til nettsted med skadevaren FluBot]
- Ny koronainformasjon [lenke til nettsted med skadevaren FluBot]
- DHL: Your parcel is arriving, track here[lenke til nettsted med skadevaren FluBot]
- Book a delivery date for your order at [lenke til nettsted med skadevaren FluBot]
- UPS Norway AS kundefordring. Til betaling: [beløp] [lenke til nettsted med skadevaren FluBot]
- Hei Vedlagt finner du din ordre. [lenke til nettsted med skadevaren FluBot]
- Sent from [lenke til nettsted med skadevaren FluBot]
- Boder vil bli sikret Hilsen Styret. Les mer på [lenke til nettsted med skadevaren FluBot]
Både Android og iOS-enheter kan motta FluBot SMS. Når en FluBot-lenke åpnes vil innholdet tilpasse seg type enhet den åpnes fra og nettsidens språk/innhold kan tilpasses lokasjonen på enheten (f.eks. informasjon om stedet/byen du befinner deg i dersom nettleseren har tilgang til posisjonsdata).
- Android-enheter ledes til en nettside som forsøker å installere FluBot skadevare. Ved installasjon vil FluBot stjele meldinger/e-post/data fra den infiserte Android-enheten.
- iOS/iPadOS ledes til en phishingside, en «konkurranse» der bruker oppfordres til å legge inn persondata og kortinformasjon.
- Andre enheter (f.eks. Windows, macOS, Linux) vil kun bli videresendt til google.com og får dermed ikke sett nettsiden med skadevare/phishing. Det gjør det vanskeligere for antimalware/urlfilter-produkter å oppdage skadevaren/phishingsidene og blokkere disse.
Berørte produkter er:
- Enheter med Android operativsystem (kan få FluBot malware installert)
- Enheter med iOS/iPad operativsystem (kun utsatt for phishing, ikke FluBot malware)
Anbefalinger:
- Ikke installer applikasjoner utenfor Google Play og Apple App Store
- Aktiver Google Play Protect på enheter som støtter dette [4]
- Lær opp alle i virksomheten til å kjenne igjen/avsløre svindelforsøk
- Unngå å trykke på ukjente lenker. Gå heller direkte til den offisielle nettsiden og oppsøk ønsket informasjon derfra.
- Sørg for at enheter som benyttes mot virksomhetens ressurser får sikkerhetsoppdateringer og er oppdatert
- Erstatt enheter som ikke lenger får sikkerhetsoppdateringer og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Dersom en Android-enhet har blitt infisert:
- Eksporter bilder og annet innhold det er ønskelig å ta vare på til f.eks. en PC
- En infisert enhet må tilbakestilles til fabrikkinnstillinger og oppdateres før den tas i bruk igjen
- Sikkerhetskopien du eventuelt legger inn må være fra før skadevaren ble installert
- Bruker av enheten må bytte passord på alle av virksomhetens tjenester som er benyttet på den infiserte enheten
- Bruker av enheten bør bytte passord på alle andre tjenester som er benyttet på den infiserte enheten
- Bruker av enheten bør varsle banken for å sperre de kort som er benyttet på enheten
- Om enheten inneholdt virksomhetsdata må det vurderes hvilken skade det kan medføre at disse data nå kan være sendt til en angriper
- Ved persondata på avveie skal Datatilsynet varsles innen 72 timer
Kilder:
[1] [JustisCERT-varsel] [#025-2021] [TLP:HVIT] FluBot Android Malware: Pågående SMS-kampanje
[2] https://www.online.no/sikkerhet/flubot-android-malware
[3] https://www.ncsc.gov.uk/guidance/flubot-guidance-for-text-message-scam