Van olyan megtámadott magyar, akinek a készülékéről 1700 SMS-t küldtek tovább.

Mindez a titkosszolgálat rendőrséggel közösen tartott pénteki online sajtótájékoztatóján derült ki.

Nemzetközi nyomozás

Halász Viktor százados, a Nemzeti Nyomozó Iroda (NNI) kiberbűnözés elleni főosztály felderítő osztályának vezetője elmondta, két napja érkeztek az első bejelentések, és a rendőrség azonnal nyomozást rendelt el információs rendszer, vagy adat megsértése bűntett elkövetésének gyanúja miatt az egyre terjedő csomagküldős SMS-üzeneteken keresztül letölthető nyomkövető applikáció ügyében. A kiberbűnözők az alkalmazáson keresztül személyes adatokat szereznek meg úgy, hogy akár netbankon tárolt adatokhoz is hozzáférnek.

Az eddig beszerzett adatok alapján a vírus a FluBot nevű malware-családhoz (malware = kártékony szoftver) tartozik, melynek első tömeges megjelenését Spanyolországban észlelték március elején. A malware Spanyolországban néhány hét alatt mintegy hatvanezer telefonkészüléket fertőzött meg, ezeken keresztül megszerezve mintegy 11 millió további felhasználó telefonszámát is. A spanyol hatóságok négy maffiózót azonosítottak és fogtak el a támadások miatt, ám a szervezet nyilvánvalóan sokkal nagyobb. A spanyol letartóztatások nyomán megtorpant a FluBot-os támadás, később azonban újraindult.

Bármikor támadás érhet

Várhatók-e, és ha igen, hol a FluBothoz hasonló kártékony szoftverek támadása? – kérdeztük a szakembereket. Halász Viktor válasza szerint

a kibertérben mindig kell számolni kártékony szoftverekkel, a FluBot mellett számos, más támadási célt kitűző malware is feltűnhet. Minden óvintézkedést be kell tartania a felhasználónak, napjainkban a korábbinál is fokozottabb körültekintéssel kell eljárni, mivel a koronavírus-járvány miatt megszaporodott az internetes térben a malware-k száma.

Halász Viktor kifejtette, mivel a vírus könnyen adaptálható, ezért feltételezhető, hogy a hazai eseteket a malware Spanyolországban azonosított és módosított verziója okozta. A program fő célja a fertőzött készülékek számának növelése, illetve az azokon található adatok megszerzése, amelyet az elkövetők további bűncselekményekhez használhatnak fel.

Az NNI specialistái jelenleg is elemzik a nálunk megjelent FluBot kártékony szoftver tevékenységét. Ami külön titkosítást használ, és több ezer szerver közül választja ki az úgynevezett vezérlőszervert, amiről aztán SMS-ekben egy algoritmus segítségével támadja a nem nyílt adatbázisokból származó telefonszámokon az adott készülékeket. Az elemzésbe nemcsak a magyar szaktitkosszolgálatot, a Nemzeti Kibervédelmi Intézetet (NKI), hanem az Europol kiberbűnözés elleni egységét is bevonták, így akár napokon belül is visszafejthetik a szálakat a vezérlőszerverig. Egyelőre nem lehet kizárni, hogy a hazánkban támadó maffiacsoportnak vannak magyar tagjai is, az SMS-ek és a közvetített linkeken található oldalak magyar nyelvűek, és jelenleg inkább tűnnek magyar anyanyelvűek által készített, mintsem fordítóprogramokkal lefordított szövegnek. Mindenesetre ezt is vizsgálják a specialisták.

Tömeges támadás

Bor Olivér százados, az NKI szóvivője kiemelte, eddig kétezer-ötszáz hazai támadásról érkezett jelzés a titkosszolgálathoz. Már az első információkra reagálva két napja felvették a kapcsolatot a rendőrség specialistáival, együtt lépnek fel a kártékony szoftverrel támadó kiberbűnözők ellen. A szóvivő leszögezte: időben történt a fellépés, a kiadott két riasztás intézete részéről és az rendőrség figyelmeztető felhívásai.

Ugyanakkor leszögezte, a használt FluBot speciális, kifinomult kártékony szoftver. Gyakorlatilag átveszi a megfertőzött mobilkészülék irányítása felett az uralmat. SMS-, MMS-írás mellett (tömegesen) a bluethoot (vezeték nélküli adattovábbító) felett is átveszi az irányítást, és így is lopja az adatokat. Az pedig egyenesen sajátossága, hogy pénzügyi adatforgalomra „hegyezték ki” a készítői. Amint például online banki, vagy kriptovaluta-ügyintézést észlel, automatikusan ellopja a személyes banki adatainkat, amivel aztán lefoszthatják a számláinkat.

Fontos, hogy aki az SMS-ben kapott linket megnyitotta, és letöltötte az ajánlott oldalt – ezáltal letöltve a FluBotot is –, az azonnal hajtsa végre a titkosszolgálat keretben részletezett ajánlásait. Ugyanakkor változtassa meg az összes jelszavát, amit eddig használt, így a netbanki, illetve a Facebookon és máshol használt jelszavakat. Végső esetben a megfertőzött készülék gyári beállításait kell visszaállítani, előtte mentve a készüléken lévő adatainkat, fotóinkat.

A titkosszolgálat a FluBot-fertőzésekkel kapcsolatban az alábbi sorrendben feltüntetett összes lépés megtételét javasolja:

Amennyiben a FluBot Malware Uninstall nevű alkalmazás segítségével a kémvírus nem szüntethető meg, abban az esetben javasolt:

a készüléken tárolt adatokról (például fényképek, kontaktok stb.) biztonsági mentés készítése, majd

a készülék gyári beállításokra történő visszaállítása.