Finlandia Menghadapi Badai Salju dari Pesan Teks yang Menyebarkan Flubot

Trojan perbankan Flubot menyelimuti Finlandia, menyebar melalui ponsel Android yang mengirim jutaan pesan teks berbahaya.

Pada hari Jumat, Pusat Keamanan Siber Nasional (NCSC-FI) di Badan Transportasi dan Komunikasi Finlandia memposting peringatan “parah” tentang malware blizzard, yang katanya menyebar melalui lusinan varian pesan yang membuat Flubot keluar seperti mad.

Setelah diinstal, Flubot mengatur tentang mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai bagian informasi pribadi. Itu juga mengirimkan pesan teks tambahan ke daftar kontak perangkat yang terinfeksi, yang memungkinkannya untuk “menjadi viral” — seperti flu.

“Sebuah malware Android bernama Flubot sedang disebarkan melalui SMS. Menurut perkiraan kami saat ini, puluhan ribu pesan telah dikirim ke orang-orang di Finlandia dalam satu hari. Kami memperkirakan jumlahnya akan meningkat dalam beberapa hari dan minggu mendatang,” kata Aino-Maria Väyrynen, penasihat keamanan informasi di NCSC-FI, dalam peringatan.

Ini Dimulai Tidak-Lambat & Terus Bertumbuh-Tumbuh-Tumbuh

Kampanye ini memang berhasil jauh lebih ganas, seperti yang diprediksi Väyrynen: Dalam sebuah artikel yang diterbitkan Selasa pagi dini hari, Väyrynen dikutip oleh Bloomberg mengatakan bahwa pesan harian sekarang berjumlah jutaan.

Perusahaan telekomunikasi terbesar di negara itu mengatakan kepada outlet berita bahwa mereka telah mencegat ratusan ribuan pesan. Teemu Makela, CISO di Elisa Oyj, menyebut serangan itu “sangat luar biasa dan sangat mengkhawatirkan”. iPhone dan perangkat lain “diarahkan ke materi penipuan lainnya di situs web”.

Pesan teks berbahaya menggunakan kode ‘comon’ yang memberi tahu target bahwa mereka telah menerima pesan suara atau pesan dari operator seluler mereka. Semua pesan varian meminta penerima untuk membuka tautan berbahaya.

Tautan tidak langsung menginstal malware: Sebaliknya, target diminta untuk memberikan izin pesan suara, yang sebenarnya merupakan bagian depan untuk instalasi malware. Kemudian, setelah diinstal, malware mencuri data dari perangkat dan mengirimkan pesan penipuan yang menyebarkan malware di latar belakang.

Ada tanda peringatan: Pesan “sering ditulis tanpa huruf Skandinavia (å, dan ö) dan mungkin berisi karakter +, /, &, % dan @ di tempat acak dan tidak logis dalam teks,” jelas penasihat tersebut.

Otoritas Finlandia membagikan contoh pesan, serta permintaan penginstalan malware, yang keduanya ditunjukkan di bawah ini.
Contoh teks penipuan pesan. Sumber: NCSC-FI.

 
Permintaan penginstalan malware. Sumber: NCSC-FI.

Tidak Ada Kekebalan yang Diperoleh Setelah Kampanye Flubot Sebelumnya

Ini adalah kali kedua Flubot menyerang Finlandia. Kampanye malware seluler Flubot diluncurkan di Finlandia pada Juni 2021 dan bertahan hingga Agustus, mengirimkan pesan yang ditulis dalam bahasa Finlandia ke ribuan orang Finlandia. Dalam kampanye sebelumnya, pesan jahat mengatakan bahwa ada paket dalam pengiriman dan menyertakan tautan pelacakan yang mencoba memikat target ke situs web scam yang mencoba menginstal Flubot.

Saat itu, berkat kerja sama antara pihak berwenang dan telekomunikasi, NCSC -FI mengatakan bahwa negara tersebut berhasil menghilangkan Flubot “hampir sepenuhnya.”

Antti Turunen, manajer penipuan di perusahaan telekomunikasi Swedia Telia (yang beroperasi di Finlandia) mengatakan kepada Bloomberg bahwa kali ini lebih buruk — sentimen yang dibagikan oleh NCSC-FI. Gelombang baru menunjukkan bahwa operator Flubot telah memutasikan malware mereka untuk mengaitkan tentakelnya ke korban terlepas dari tindakan pengendalian yang dilakukan untuk memberantas kampanye Flubot musim panas, kata pusat keamanan.

Flubot sering mengubah taktik: Pada bulan Oktober misalnya, trojan perbankan terlihat menggunakan peringatan keamanan palsu untuk mencoba mengelabui pengguna Android agar berpikir bahwa mereka telah terinfeksi … dengan Flubot.

Itu bohong, tetapi menjadi kenyataan bagi penerima pesan teks yang mengklik tombol “instal pembaruan keamanan” button.

Ancaman Intel Adalah ‘Raja’ untuk Melindungi Terhadap Serangan Ini

Hank Schless, manajer senior solusi keamanan di Lookout, mengatakan kepada Threatpost melalui email pada hari Selasa bahwa penderitaan Finlandia adalah contoh dari “masalah yang malware-sebagai-a- pasar layanan (MaaS) diciptakan untuk konsumen dan perusahaan.”

Pasar ini telah membuat malware dan kit phishing “sangat mudah diakses bahkan oleh pelaku ancaman yang paling tidak terampil sekalipun,” katanya. “Biasanya, dengan harga yang sangat murah, seseorang bisa online dan menemukan salah satu dari kit ini sudah lengkap dan siap digunakan. Setelah mereka memperoleh kit, yang perlu dilakukan penyerang adalah meng-host-nya di domain web kemudian membangun mekanisme pengiriman. Paling sering, mekanisme ini adalah beberapa bentuk pesan yang menargetkan pengguna seluler karena banyaknya cara Anda dapat mengirimkan pesan ke perangkat ini melalui SMS, email, platform media sosial, aplikasi perpesanan pihak ketiga, game, dan bahkan aplikasi kencan.”

Satu-satunya perbedaan antara kampanye Flubot Finlandia sebelumnya dan yang ini adalah kait rekayasa sosial yang berbeda, katanya – sebuah tanda bagaimana “serangan phishing yang direkayasa secara sosial dapat terus menjadi efektif dari waktu ke waktu”. perusahaan,” Schless mengamati. “Aktor ancaman tidak hanya menggunakannya untuk mencuri kredensial login, tetapi juga mengirimkan malware ke perangkat dan infrastruktur. Data pengamatan menunjukkan bahwa pelaku ancaman sangat menargetkan pengguna melalui saluran seluler seperti SMS, platform media sosial, aplikasi perpesanan pihak ketiga, game, dan bahkan aplikasi kencan.”

He menunjuk ke data Lookout yang menunjukkan bahwa ada tingkat paparan triwulanan rata-rata terhadap serangan phishing sebesar 15,35 persen selama tiga kuartal pertama tahun 2021: Lompatan dari tingkat paparan 10,25 persen yang dilacak perusahaan dalam tiga kuartal pertama tahun 2020. 

“Phishing jelas merupakan masalah yang berkembang untuk setiap organisasi,” katanya.

Sementara kampanye Flubot ini menargetkan konsumen, taktik yang sama digunakan untuk menargetkan organisasi perusahaan, Schless berkata: Misalnya, pesan umpan penyerang dapat mengatakan bahwa Outlook atau login Salesforce target adalah disusupi, memikat mereka ke halaman login palsu dengan tujuan mencuri kredensial login perusahaan mereka.

“Setelah penyerang memiliki kredensial yang disusupi, mereka bebas untuk masuk ke aplikasi perusahaan mana pun dan bergerak secara lateral melalui infrastruktur,” lanjut Schless. “Ini dapat menyebabkan mereka mengekstraksi atau mengenkripsi data untuk serangan ransomware akhirnya.”

Dia menyimpulkan dengan menyebut ancaman intel “raja” ketika datang untuk melindungi dari serangan seperti ini. “Solusi yang didukung oleh kumpulan data dengan telemetri ancaman yang cukup adalah satu-satunya cara untuk mendeteksi dan melindungi dari serangan ini bahkan sebelum mereka dapat menjangkau pengguna akhir,” katanya. “Karena kampanye ini biasanya berjalan dalam waktu singkat, solusi keamanan tradisional akan terlalu lambat digunakan. Mendorong cakupan otomatis terhadap serangan seperti ini sebagai halaman berbahaya ketika sedang dibangun, adalah satu-satunya cara untuk mengurangi kesenjangan dalam perlindungan.”

Apa yang Harus Dilakukan Jika Anda Telah Flubotted

NCSC-FI menawarkan panduan tentang apa yang harus dilakukan jika perangkat Anda memiliki telah terinfeksi Flubot. Perhatian: Obatnya pahit.

Cara termudah untuk menyembuhkan penyakitnya adalah dengan melakukan reset pabrik sesegera mungkin, kata pusat keamanan. Saat memulihkan dari cadangan, pastikan untuk menggunakan cadangan yang berasal dari pra-infeksi, saran yang direkomendasikan.

Ini memberikan instruksi tambahan ini, yang dimaksudkan untuk menjaga trojan perbankan Flubot dari mengamuk melalui rekening keuangan:

    Jika Anda menggunakan aplikasi perbankan atau menangani informasi kartu kredit pada perangkat yang terinfeksi, hubungi bank Anda.

    Laporkan kerugian finansial apa pun kepada polisi.

    Setel ulang kata sandi Anda pada layanan apa pun yang telah Anda gunakan dengan perangkat. Malware mungkin telah mencuri sandi Anda jika Anda login setelah menginstal malware.

    Hubungi operator Anda, karena langganan Anda mungkin telah digunakan untuk mengirim pesan teks dengan dikenakan biaya. Malware yang saat ini aktif untuk perangkat Android menyebar dengan mengirimkan pesan teks dari perangkat yang terinfeksi.

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.Daftar SEKARANG untuk acara LANGSUNG!
Write a comment
Bagikan artikel ini:

  • Malwareliu
      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: