Phần Lan đối mặt với tin nhắn văn bản lan truyền Flubot

Hàng triệu tin nhắn dẫn đến phần mềm gián điệp Flubot /trojan ngân hàng đang nhắm mục tiêu đến tất cả những người sử dụng Android tại Phần Lan.

Trojan ngân hàng Flubot (phần mềm gián điệp Android có khả năng đánh cắp dữ liệu đăng nhập và mật khẩu tài chính từ thiết bị của người dùng. Nó cũng có khả năng đọc danh sách liên hệ và lấy thông tin đó để tìm thêm mục tiêu cho các cuộc tấn công tiếp theo) đang lan tràn khắp Phần Lan, lây lan qua điện thoại Android, và chúng đang gửi đi hàng triệu tin nhắn văn bản độc hại.

Trung tâm An ninh Mạng Quốc gia (NCSC-FI) thuộc Cơ quan Giao thông và Truyền thông Phần Lan đã phát đi cảnh báo "nghiêm trọng" về "trận bão" phần mềm độc hại đang lây lan qua hàng chục biến thể tin nhắn.

Sau khi được cài đặt, Flubot có mục tiêu đạt được quyền lấy cắp thông tin ngân hàng và thông tin đăng nhập, gỡ bỏ mật khẩu được lưu trữ trên thiết bị và loại bỏ nhiều phần thông tin cá nhân khác nhau. Nó cũng gửi các tin nhắn văn bản bổ sung đến danh sách liên lạc của thiết bị bị nhiễm bệnh, điều này cho phép nó "lây lan" - giống như bệnh cúm.

Aino-Maria Väyrynen, Cố vấn an ninh thông tin tại NCSC-FI, cho biết trong cảnh báo: "Một phần mềm độc hại Android có tên Flubot đang được phát tán qua SMS. Theo ước tính của chúng tôi, hiện đang có hàng chục nghìn tin nhắn đã được gửi đến người dùng smartphone chạy hệ điều hành Android ở Phần Lan trong một ngày".

Chiến dịch thực sự đã trở nên thâm độc hơn nhiều, Väyrynen dự đoán trong một bài báo đăng tải vào ngày 30/11, Väyrynen được Bloomberg trích dẫn rằng, các tin nhắn Flubot hàng ngày được gửi đi hiện lên tới hàng triệu.

Các công ty viễn thông lớn của Phần Lan cho Bloomberg biết rằng họ đã chặn hàng trăm nghìn tin nhắn. Teemu Makela, Giám đốc An ninh Thông tin (CISO) tại công ty viễn thông Elisa Oyj, gọi cuộc tấn công là "cực kỳ đặc biệt và rất đáng lo ngại".

Cố vấn của NCSC-FI cho biết phần mềm độc hại đang nhắm mục tiêu "tất cả mọi người sử dụng thiết bị Android", trong khi iPhone và các thiết bị khác được "hướng đến tài liệu gian lận khác được đăng tải trên web".

Các tin nhắn văn bản độc hại đang sử dụng tiện ích mở rộng để cho các mục tiêu biết rằng họ đã nhận được thư thoại hoặc tin nhắn từ nhà khai thác di động. Tất cả các biến thể thông báo đều yêu cầu người nhận mở một liên kết (độc hại).

Liên kết đó không cài đặt phần mềm độc hại ngay lập tức, thay vào đó, các mục tiêu được nhắc cấp quyền cho thư thoại, đây thực sự là bình phong cho việc cài đặt phần mềm độc hại. Tiếp theo, sau khi được cài đặt, phần mềm độc hại sẽ đánh cắp dữ liệu từ thiết bị và gửi thông báo lừa đảo lây lan phần mềm độc hại cho những người dùng khác có trong danh bạ của người dùng đã bị nhiễm Flubot.

Được biết, các tin nhắn này "thường được viết không có các chữ cái Scandinavia (å, ä và ö) và có thể chứa các ký tự +, /, &,% và @ ở những vị trí ngẫu nhiên và phi logic trong văn bản", Aino-Maria Väyrynen giải thích.

Nhà chức trách Phần Lan đã chia sẻ ví dụ về các thông báo, cũng như yêu cầu cài đặt của phần mềm độc hại như sau:

Đây không phải là lần đầu tiên phần mềm độc hại FluBot xuất hiện ở Phần Lan. Vào thời điểm tháng 6/2021, quốc gia này đã chứng kiến hàng nghìn nạn nhân rơi vào cảnh bị lừa đảo. Ở thời điểm đó, nhiều người đã nhận được tin nhắn với nội dung: có "gói hàng đang chờ giao" cùng một liên kết dường như đưa người dùng đến trang web theo dõi gói hàng.

Trong khi đó, vào thời điểm tháng 8/2021, FluBot đã nhắm mục tiêu đến người dùng điện thoại di động ở Úc, và sau đó, vào tháng 10/2021, đến lượt người New Zealand. Cơ quan An ninh Mạng Chính phủ New Zealand (New Zealand CERT) đã đưa ra cảnh báo rằng, một số tin nhắn SMS khác nhau đang nhắm mục tiêu đến điện thoại Android. Các tin nhắn đã cố gắng thu hút người dùng bằng một số biến thể với một trong các chủ đề như: "Bạn có một bưu kiện đang chờ xử lý", "Ai đó đang cố gắng chia sẻ một album ảnh với bạn", "Bạn đã nhận được một thư thoại"./.