Eigenaren van een Androidtelefoon die besmet is geraakt met de FluBot-malware moeten zo snel mogelijk een fabrieksreset uitvoeren en geen back-up terugplaatsen. Dat adviseert het Britse National Cyber Security Centre (NCSC). Begin deze maand waarschuwde de Duitse overheid al voor aanvallen met de FluBot-malware en die zijn nu ook in het Verenigd Koninkrijk waargenomen.
Slachtoffers ontvangen een sms-bericht dat van een vervoersbedrijf afkomstig lijkt en stelt dat een pakket niet kon worden afgeleverd. De link in het bericht wijst naar een malafide website die Androidgebruikers een zogenaamde app aanbiedt om hun pakket mee te volgen. In werkelijkheid gaat het om de FluBot-malware, een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen.
Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt welke applicaties erop het toestel geïnstalleerd staan. In het geval van bankapplicaties zal de FluBot hiervoor een aparte phishingpagina downloaden.
Zodra het slachtoffer de legitieme bank-app start plaatst FluBot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen. IOS-gebruikers die de link in het sms-bericht openen worden doorgestuurd naar een scamsite waar persoonlijke informatie kan worden gestolen.
In het geval gebruikers de malafide app hebben geïnstalleerd moeten ze niet meer op hun accounts inloggen totdat de malware is verwijderd, zo stelt het NCSC. Om FluBot van het toestel te krijgen raadt de Britse overheidsinstantie aan om een fabrieksreset uit te voeren. Hierdoor gaat wel alle data op het toestel verloren. Wanneer de reset is uitgevoerd kan het toestel vragen om een back-up terug te zetten, maar dit moeten gebruikers niet doen, aldus het NCSC. Er bestaat namelijk een risico dat ook de back-ups zijn besmet.
Deze posting is gelocked. Reageren is niet meer mogelijk.