Directoratul Național de Securitate Cibernetică și operatorii de telecomunicații raportează mii de sesizări primite de la cetățeni referitoare la primirea de mesaje de la numere necunoscute ce îi invită să acceseze un link. Autoritățile spun că este vorba despre un nou val de atacuri malware prin trimiterea unui mesaj SMS cu mesaje înșelătoare.
Scopul principal al atacatorilor este extragerea de la potențialele victime a datelor sensibile (personale, financiare și de autentificare). Nu furnizați astfel de date la cerere, după accesarea unor link-uri provenite din surse dubiose, spun cei de la DNSC.
Vodafone își avertizează clienții că în fapt este vorba de un nou val de atacuri malware prin SMS denumit „Flubot”. Acesta este o înșelătorie cu mesaje text SMS care infectează în principal telefoanele Android din toate rețelele și acționează la nivelul mai multor țări din Europa. Este răspândit prin SMS-uri, care sunt trimise pentru a părea ca și cum ar proveni de la companii legitime, în principal firme de curierat.
Acest SMS primit de victime conține un link către un site web infectat cu malware, care oferă victimei instrucțiuni despre cum să descarce o aplicație APK (pachet Android) necesară. În cadrul campaniei cu sms-uri capcană lansate de atacatori în perioada Paștelui, unii utilizatori au raportat către Directoratul Național faptul că, după ce au accesat link-ul din mesaj au descarcat și instalat o aplicație malițioasă pentru #Android, denumită ‘Voicemail’. Odată descărcat, acest malware primit prin SMS stabilește drepturi de administrator pe telefonul victimei și execută cel puțin una dintre acțiunile de mai jos:

În cazul în care ați instalat și acordat permisiuni multiple unei astfel de aplicații, specialiștii în securitate recomandă să folosiți o soluție de securitate pentru eliminarea acesteia sau să reveniți la setările din fabrică ale dispozitivului. Nu uitați înainte să faceți un back-up pe o sursă externă a datelor esențiale pentru dvs. (contacte, imagini, videoclipuri, etc.), pentru a nu le pierde.
Specialiștii în securitate de la Vodafone spun că un acest val de atacuri Malware prin SMS se poate răspândi pentru că odată descărcat, malware-ul stabilește drepturi de administrator pe telefonul victimei și folosește fișierul „Contacte” al telefonului infectat pentru a răspândi în continuare malware-ul prin trimiterea de mesaje personalizate către fiecare persoană de contact, adică folosirea numelui lor în corpul SMS-ului pentru a crește credibilitatea.
Acest tip de atacuri malware se răspândește prin trimiterea unor volume mari de SMS – uri (care conțin link-uri infectate) către destinații naționale sau internaționale cu costuri ridicate, precum și MMS-uri către numere cu tarif premium.
Hackerii folosesc spyware pentru a culege date sensibile deținute, trimise sau primite pe telefon și pot efectua diverse tranzacții financiare. Ei pot chiar să intercepteze mesajele SMS primite pe telefon, pentru a prelua parolele unice transmise (OTP), de exemplu de către instituții bancare. OTP-urile sunt utilizate ulterior pentru a fura fonduri sau informații de la victime, de ex.: prin conectarea la conturile lor bancare și inițierea unor tranzacții.
Poliția Română s-a autosesizat cu privire la atacurile cibernetice și face cercetări. Aceste mesaje au fost trimise de pe numere de telefonie mobilă din România, dar poliția nu știe încă ale cui sunt.
„Este foarte greu de identificat sursă, mai ales în România, unde încă este ușor să obții cartele SIM fără să identifici posesorul de drept sau o persoană desemnată pe acel număr de telefon sau să obții numere de telefon ‘virtuale’”, a spus specialistul în securitate cibernetică Tiberiu Anghel, într-un interviu pentru Radio Europa Liberă.
El crede, de asemenea, că aceste atacuri sunt din surse externe, având în vedere greșelile gramaticale din mesaje.
Cum te poți proteja?
- Specialiștii Directoratului Național de Securitate Cibernetică vă recomandă să:
- Evitați accesarea link-urilor și deschiderea atașamentelor provenite din surse necunoscute;
- Acordați permisiuni aplicațiilor mobile în mod punctual și în funcție de necesități;
- Verificați și gestionarea periodică a permisiunilor aplicațiilor mobile;
- Utilizați soluții antivirus și actualizați constant semnăturile acestora (update);
- Activați opțiunea de verificare a securității aplicațiilor mobile instalate și a opțiunii de blocare a celor din surse necunoscute;
- Actualizați sistemul de operare la ultima versiune compatibilă cu sistemul utilizat;
- Dacă realizați că ați căzut victimă acestui tip de atac evitați cu orice preț autentificarea pe conturi fără a realiza o resetare din fabrică a dispozitivului sau recuperarea datelor dintr-un backup creat după instalarea aplicației malițioase!
- În cazul în care v-ați autentificat pe anumite conturi, după ce ați acordat permisiuni unei astfel de aplicații malițioase, recomandăm să vă schimbați parolele corespondente și să activați autentificarea multifactorială (2FA), acolo unde este posibil.
- Dacă ați folosit date de card, contactați imediat banca pentru raportarea problemei și înlocuirea cardului, dar și a datelor de autentificare dedicate serviciului de internet banking.
Pentru situația în care ai certitudinea că dispozitivul tău Android a fost infectat cu malware-ul “Flubot” și serviciul antivirus nu îl poate șterge, o modalitate sigură de a-l elimina este de a efectua o revenire la setările din fabrică (factory reset). Nu este indicat să faceți back-up pentru dispozitiv înainte de resetare, pentru a evita reîncărcarea malware-ului prin backup. Backup-urile aplicațiilor ar trebui să fie în continuare posibile, de ex. Google Photos.
Important de știut: în urma unei resetări din fabrică, telefonul va fi adus la setările inițiale (din fabrică). Toate datele din SIM și din cardul de memorie vor fi păstrate, în timp ce datele din memoria internă a telefonului vor fi șterse.
Cei de la Vodafone își îndeamnă clienții care au fost vicitmele unui astfel de atac să apeleze cât mai urgent serviciul de relații cu clienții.