Új csalássorozat terjed hazánkban, amely a járvány és a korlátozó intézkedések hatására egyre népszerűbb házhozszállítást igyekszik kihasználni. Ezúttal nem csak pár ezer embert érintő trükközésről van szó, pénteki adatok szerint már több százezer csaló SMS terjeng az országban. (Van olyan áldozat is, akinek telefonja a fertőzés után már 1700 kártékony üzenetet küldött tovább.) Az ESET internetbiztonsági termékeit forgalmazó Sicontact Kft. által közreadott tájékoztatás szerint az elmúlt napokban hozzájuk is több olyan megkeresés érkezett, melynek tárgya a magyar nyelvű, "Megerkezett a csomagja, kovesse nyomon itt" szövegezésű üzenet. A jelenségre a mobilszolgáltatók mellett már a rendőrség, illetve a Nemzetbiztonsági Szakszolgálat kibervédelmi szakemberei is felhívták a figyelmet.

"A tapasztalatok alapján 20-as és 30-as hazai számokról érkeznek az üzenetek, de nem kizárt, hogy 70-es telefonszámról is érkezik ilyen üzenet” – részletezte Csizmazia-Darab István, a Sicontact IT-biztonsági szakértője. A szövegben aelső gyanús jel, hogy a linkekben szereplő idomainnevek nem hasonlítanak egyik létező csomagküldő szolgálat webcíméhez sem, bár van, amelyikben szerepel a „track”, azaz nyomkövetés szó. További, adathalász próbálkozásokra jellemző intő jeleket is felismerhetünk, mint például a gyenge helyesírás, a hiányzó ékezetek.

ESET / Sicontact

A csomagunk nyomkövetésére felszólító SMS minden esetben tartalmaz egy linket, amelyet megnyitva látszólag egy ismert futárszolgálat oldalára kerülünk. Itt arra kérnek minket, hogy a csomagunk nyomon követeséhez töltsünk le és telepítsünk egy alkalmazást. Ha így teszünk, egy „.apk” kiterjesztésű fájl töltődik le a telefonunkra, amely kártevőt tartalmaz.

A Sicontact jelenlegi információi alapján a telepítés után az adatlopó program egy távoli szerverre továbbítja a készüléken található, a kártékony kód által összegyűjtött személyes adatokat. A megszerzett adatok között akár jelszavak, címjegyzékek, banki azonosító adatok is lehetnek.

Mit tegyünk, ha ilyen SMS-t kapunk?

A tapasztalatok eddig azt mutatják, hogy az SMS megnyitása önmagában nem veszélyes. Több esetben a link megnyitásakor maga a Chrome böngésző figyelmeztet, hogy az adott weboldalt már többen is gyanúsnak jelentették. Emellett a legbiztosabban a naprakész vírusvédelmi programok fogják meg ezeket a próbálkozásokat.

Az ESET közleményében a vállalat saját, Mobile Security nevű programját hozza példának, amely az "Android/TrojanDropper.Agent.HNJ" néven azonosította és blokkolta a fedex.apk nevű alkalmazást, amelyet egy ilyen gyanús linkről letöltöttek. A telepítés és a felismerés pillanata látható az alábbi képernyőképeken.

ESET / Sicontact

Ha már letöltöttük és telepítettük a kártékony alkalmazást, akkor a gyári állapotra való visszaállítás jelenthet biztos megoldást. Ezt azonban csak végszükség esetén érdemes alkalmazni, hangsúlyozza az ESET közleménye, ugyanis ezzel a módszerrel minden adatunk és fájlunk törlődik a telefonról. Érdemes első lépésben letöltenünk egy ismert, megbízható vírusvédelmi programot, és egy teljes ellenőrzést futtatnunk az eszközön – a legtöbb esetben ez elvégzi a kártevő teljes eltávolítását.

Fontos megjegyezni, hogy egyik módszer sem képes arra, hogy a már ellopott, illetéktelen kezekbe került adatainkat visszahozza, így érdemes lehet a bankunkat is értesíteni a történtekről.

A fertőzéshullám kapcsán a Nemzeti Kibervédelmki Intézet összeállított egy úmutatót az androidos (8.1, 9.0, 10.1 és 11 verziószámú) készülékekhez. A telekommunikációs vállalat által javasolt lépések a következők:

• A FluBot Malware Uninstall nevű alkalmazás letöltése (kizárólag) a Google Play áruházból, majd ennek telepítése.
• A fertőzött készülék wifi- és mobiladat-kapcsolatának leállítása.
• A képernyőn megjelenő utasítások követése.
• Az utasításokat követve a rosszindulatú alkalmazás eltávolítása.
• A képernyőn megjelenő lépések végrehajtásával az alapértelmezett indítóválasztás visszavonása.
• A „FluBot Malware Uninstall” nevű alkalmazás eltávolítása.

Amennyiben a FluBot Malware Uninstall nevű alkalmazás segítségével a fertőzés nem szüntethető meg, abban az esetben a hatósági szakemberek szerint is javasolt a készüléken tárolt adatokról (pl. fényképek, kontaktok stb.) biztonsági mentés készítése, majd a készülék gyári beállításokra történő visszaállítása.

Fertőzés esetén ajánlott a telefonon lévő alkalmazásokban, szolgáltatásokban használatos jelszavak cseréje.

Miért esünk könnyen áldozatul az SMS csalásoknak?

A csalók folyamatosan fejlesztik a trükkjeiket, és új módszereket próbálnak ki annak érdekében, hogy rávegyék az embereket arra, hogy megtegyenek valamit, amit lehet, hogy amúgy kétszer meggondolnának. Az e-mailben történő adathalászatról manapság egyre több szó esik, így ezeket a próbálkozásokat már egyre nagyobb eséllyel szűrik ki sikeresen a felhasználók, az SMS adathalászatról („smishing”) azonban viszonylag keveset hallhattunk mostanáig – figyelmeztetnek az ESET kiberbiztonsági szakemberei.

Az e-mailekkel ellentétben az SMS esetében csak egy telefonszámot látunk, nincs feladó cím, amit ellenőrizhetnénk. Ráadásul arra is van példa, hogy a kártékony üzenet képes beilleszteni magát egy korábbi, megbízható üzenetváltásba. Az ESET szakemberei szerint ahogy egyre gyakrabban élünk az online rendelés és házhozszállítás lehetőségével, a különböző értesítések gyakran egy végtelen értesítésfolyammá olvadhatnak össze, amit gyanútlanul átfutunk. Ha több csomagot is várunk, akkor még kisebb az esélye, hogy feltűnik, ha hamis értesítést kapunk. Sőt, még ha nem is várunk éppen semmilyen küldeményt, akkor is felülkerekedhet rajtuk a kíváncsiság, és úgy érezzük, rá kell kattintanunk a linkre, hogy kiderítsük, milyen csomagról van szó.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.