Wij zien de laatste dagen weer een opleving van de zogenaamde FluBot-malware die gericht is op bezitters van een Android-telefoon. Ook de politie krijgt er de nodige signalen over binnen: er zijn de afgelopen tijd 'enkele tientallen' slachtoffers gevallen en de verwachting is dat dat aantal de komende tijd verder oploopt. Voor de politie reden genoeg om te waarschuwen: FluBot is namelijk schadelijke malware die onder meer wachtwoorden en informatie voor internetbankieren kan onderscheppen.
In mei dit jaar dook de FluBot-malware voor Android voor het eerst op in Nederland. Omdat deze malware de nare eigenschap heeft om zich via telefoonnummers van nietsvermoedende, geïnfecteerde gebruikers te verspreiden, ontstaat er al snel een soort sneeuwbaleffect: één toestel stuurt automatisch sms'jes met malafide links naar misschien wel enkele honderden contacten, en dan kan het ineens heel hard gaan.
En dat gebeurde ook. Vele duizenden meldingen waren het gevolg, en de NOS kopte op 25 mei 2021 dan ook treffend: 'Politie en Fraudehelpdesk druk met Android-malware: 'Dit is iets nieuws, iets anders'. Ook Opgelicht?! heeft regelmatig uitgebreid aandacht besteed aan FluBot: wie deze artikelen gemist heeft, doet er dan ook verstandig aan om onderstaande stukken er nog eens op na te lezen.
Artikelen van Opgelicht?! over deze FluBot-malware
- Gevaarlijke en schadelijke Android-malware in sms'jes met verzendbevestigingen van koeriersdiensten (7 mei 2021)
- KPN waarschuwt klanten: 'Controleer je telefoonrekening wegens nieuwe Android-malware' (20 mei 2021)
- Gevaarlijke Android-malware duikt op in valse Track & Trace-app van 'DHL' (24 mei 2021)
- Gebruikers van Android-telefoons wéér doelwit van schadelijke FluBot-malware, nu via sms'jes over voicemailberichten (14 juli 2021)
- Gevaarlijke 'FluBot'-malware voor Android-toestellen verspreidt zich via valse beveiligingsupdates (4 oktober 2021)
Wat kan de FluBot-malware zoal?
Goed om te weten: deze malware is voornamelijk schadelijk voor Android-toestellen, omdat het besturingssysteem Android het voor gebruikers iets eenvoudiger maakt om met een paar eenvoudige handelingen bepaalde applicaties buiten de officiële Google Play Store om te installeren. De kans op succes is onder Android-gebruikers simpelweg groter.
Bij iPhones kan dat weliswaar ook, maar het is allemaal stukken omslachtiger, en daarbij komen begrippen kijken als sideloading (het rechtstreeks installeren van een applicatie zonder tussenkomst van de App Store, wat in iOS niet altijd even makkelijk is) en jailbreaking (het uitschakelen van de beveiliging van iOS om ook apps uit niet-officiële en niet-erkende bronnen te kunnen installeren). Mensen die zich hiermee bezig houden, weten doorgaans vrij goed wat ze doen, en zullen in de regel niet zo snel zomaar een onbekende package installeren na ontvangst van een verdacht sms'je.
Dan terug naar FluBot. Hieronder volgt een overzicht van waar deze FluBot-malware zoal toe in staat is:
- De aanvaller kan real-time meekijken op jouw telefoonscherm;
- De aanvaller probeert kwaadaardige kopieën van apps voor internetbankieren te installeren;
- De aanvaller kan namens jouw toestel sms'jes versturen om de malware verder te verspreiden;
- De aanvaller kan namens jou klikken en handelingen verrichten;
- De aanvaller kan een keylogger installeren;
- De aanvaller kan jouw contacten kopiëren;
- De aanvaller kan apps openen;
- De aanvaller kan tekstinvoer wijzigen
Politie waarschuwt Android-gebruikers nogmaals voor FluBot-malware
Duidelijke zaak: na het lezen van bovenstaande opsomming heb je talloze redenen om héél ver uit de buurt van deze malware te blijven. En daarvoor waarschuwt nu ook de politie.
FluBot verspreidt zich hoofdzakelijk via drie bekende methodes:
- Een sms in de vorm van een verzendbevestiging van een (vaak niet nader gespecificeerde) koeriersdienst;
- Een sms in de vorm van een mededeling over een onbeluisterd voicemailbericht;
- Een sms in de vorm van een mededeling over een verplichte Android-beveiligingsupdate
Van deze drie is de verzendbevestiging de meest voorkomende methode. De variant met betrekking tot de voicemailberichten is minder gangbaar, en de laatstgenoemde variant heeft in Nederland vooralsnog niet écht voet aan de grond gekregen, al is het uiteraard wél goed om vast rekening te houden met de mogelijkheid dat dat op termijn komt te veranderen.
De sms'jes bevatten met grote regelmaat onlogische woorden en karakterreeksen, mogelijk om spamfilters te omzeilen. Daarnaast staan er altijd links in die naar onlogische domeinen verwijzen: de kans is groot dat er via een achterdeurtje malware wordt gehost op domeinen waarvan de beveiliging niet helemaal op orde is.
Klik je de link aan? Dan krijg je op Android-toestellen een verwijzing naar een zogenaamde package die je moet installeren. Dat kan gaan om een valse Track & Trace-app, een valse voicemail-app of een valse update-app. Daarbij krijg je ook altijd instructies om de (standaard ingestelde) beveiliging van Android te omzeilen: dat is immers nodig om de malware daadwerkelijk te kunnen installeren.
Bezitters van een iPhone worden na het aanklikken van zo'n link overigens vaak verwezen naar sites met malafide winacties. Een infectie met FluBot is daarmee praktisch uitgesloten, al is het ook voor iPhone-bezitters even opletten geblazen: uiteindelijk zit er niks dan narigheid achter.
Politie deelt tips om schade te voorkomen
Voor zover het uit bovenstaande verhaal nog niet duidelijk was, deelt de politie een aantal tips om te voorkomen dat mensen per abuis FluBot-malware op hun toestel zetten:
- Klik niet op de link in een sms om een pakket te volgen;
- Download dergelijke apps niet via een link in een bericht, maar zoek bij twijfel de app zelf op in de Play Store;
- Heb je toch de link geactiveerd en is de malware geïnstalleerd? Neem dan zo snel mogelijk contact op met je provider of telefoonaanbieder om verdere schade te voorkomen
Bron: Politie.nl
