Infekcja Flubotem oczyma ofiary
Zastanawialiście się kiedyś, jak czuje się ofiara, która dała się oszukać phishingowemu SMSowi z Flubotem? My też i nasze pragnienie się spełniło! Akurat dzisiaj napisał do nas użytkownik, który w ostatnich dniach okazał się być niefrasobliwy. A ponieważ najlepszą naukę daje prawdziwa historia, poniżej opowieść ofiary Flubota. Formę w znacznej większości zostawiamy bez zmian, jedynie anonimizując, formatując, w kilku miejscach skracając i dodając nasze uwagi.
W dniu xx.12.2021 r. o godz. 21:xx otrzymałem telefon komórkowy o nr xxx xxx xxx wiadomość:
„Czesc. Właśnie zmieniłem numer telefonu, przeslalem film, który zrobiliśmy ostatnim razem…”, z podaniem linka do strony. Po uruchomieniu niniejszego linka został wyświetlony tekst, iż w celu obejrzenia filmu należy zainstalować lub zaktualizować Flash Player. Po czym przeniesiono do strony Sklepu Play (w naszej opinii było to strona udająca Sklep Play, o czym może też świadczyć dalsza część wypowiedzi – przyp. CERT OPL) i po wyświetleniu okna instalowania Flash Player zaakceptowałem niniejszą instalację. Po zainstalowaniu film się żaden nie odtworzył, natomiast zmienił mi się wygląd widoku wyświetlanych wiadomości na taki jak na załączonym zdjęciu – z fioletowym nagłówkiem.
Podczas kilkukrotnych prób odinstalowania Flash Player po otwarciu okna Ustawienia/Aplikacje i podejmowanych próbach otwarcia Flash Player, okno to się wyświetla na bardzo krótką chwilę i samoczynnie się wygasza, wychodząc jednocześnie do okna głównego Android. Nie ma możliwości odinstalowania niniejszej aplikacji z tego poziomu.
W następnym dniu wykonano do mnie kilka połączeń telefonicznych z nieznanych mi numerów z informacją (pretensjami), iż wysyłane były z mojego telefonu jakieś wiadomości sms, których w rzeczywistości nie wysyłałem i nie były one możliwe do wyświetlenia na karcie WIADOMOŚCI mojego aparatu telefonicznego (dzwoniły osoby, do których Flubot wysłał – faktycznie bez wiedzy ofiary – kolejne phishingowe SMSy, schemat dystrybucji Flubota opisywaliśmy tutaj – przyp. CERT OPL). W godzinach wieczornych dla próby wyłączyłem telefon. Po uruchomieniu ponownym telefonu w dniu xx.01.2022 o godz. 20:xx otrzymałem trzy sms-y z różnych nieznanych mi numerów telefonów (zdjęcia w załączeniu) z linkami, których to do tej pory nie otwierałem. Po jakimś czasie dla sprawdzenia przełożyłem kartę SIM do innego aparatu komórkowego i uruchomiłem go, po czym na niniejszy aparat otrzymałem trzy sms-y z trzech różnych nieznanych mi numerów telefonów, pierwszy o treści:” Zars dzwonie na Policje”, drugi: „Ch… wam w dup…!”, a trzeci: „Nie wiem komu mam dziękować bo nie mam takiego numeru telefonu.” (sytuacja identyczna, jak poprzednio). Nie odpowiadałem na niniejsze sms-y. Przez większą część dnia xx.01.2022 aparat był wyłączony, natomiast od późnego wieczoru dnia xx.01.2022 aparat komórkowy był ciągle wyłączony. Ponadto w dniu xx.12.2021 na nr xxx xxx xxx odbyło się 20 prób połączenia z wcześniej zablokowanych numerów określonych jako SPAM. (to akurat nie musi mieć nic wspólnego z infekcją Flubotem – przyp. CERT OPL).
Co w takiej sytuacji należy zrobić? Niestety stopień skomplikowania Flubota i jego ingerencji w system oznacza jedno – konieczność resetu telefonu do ustawień fabrycznych. Jeśli zorientujemy się, że coś jest nie tak (jak bohater tego tekstu), NATYCHMIAST włączamy tryb samolotowy (by uniemożliwić wysyłanie SMSów do innych ofiar, co może okazać się wyjątkowo kosztowne) i absolutnie nie przeprowadzamy żadnych transakcji finansowych z zainfekowanego urządzenia.
A najlepiej być mądrym przed szkodą i parę chwil się zastanowić, zanim klikniemy na dziwny link od nieznanej osoby…
