Sikkerhet

– Flubot-viruset kan potensielt utgjøre en trussel for bedriftens digitale data.

De ansattes mobiler kan fungere som en bakdør inn i bedriftens systemer hvis de blir infisert.

Flutbot utgjør en trussel for androide mobiler

De siste månedene har det såkalte Flubot-viruset fått stor oppmerksomhet, med rette. Svært mange nordmenn har nemlig mottatt tekstmeldinger om pakker eller talemeldinger, med en kryptisk lenke. Trykker du på denne og laster ned et program som anvist, kan også din mobil bli infisert – om du har Android, vel å merke.

– De som installerer dette Flubot-viruset gir i praksis full tilgang til absolutt alt på mobilen, med alt det potensielt innebærer, sier senior sikkerhetsanalytiker Thorbjørn Busch i Telenor.

I første omgang har dette gitt utslag i at de infiserte mobilene spyr ut tekstmeldinger. I ett forsøk på å spre viruset ved å infisere enda flere mobiler.

– I ett tilfelle så vi at mobilen til en angrepet bruker hadde sendt ut 8000 SMS-er, uten at vedkommende hadde merket det. Antallet SMS-er som florerer gjenspeiler også aggressiviteten til Flubot.

– I starten av desember sperret vi 3,4 millioner slike meldinger i vårt nett, bare på ett døgn. Det vanlige nivået ligger på rundt 30.000 sperrede meldinger i døgnet, sier Busch.

– Og dette er bare i Telenors nett. Hva det totale antallet meldinger ligger på i Norge er vanskelig å anslå, men det er ingen tvil om at det er overveldende.

I sitt eget mobilnett har Telenor nå klart å identifisere rundt 200 personer som har fått mobilene sine infisert med Flubot.

– Kundeservice jobber nå med å kontakte disse, for å hjelpe dem med å få fjernet viruset fra mobilene sine.

Se nederst i artikkelen for tips om hvordan du skal håndtere Flubot på din mobil.

Eksperten forklarer hvordan Flutbot fungerer

Ukjente bakmenn og motiver

Ifølge Busch er Flubot mest sannsynlig en såkalt banktrojaner som er i stand til å snappe opp betalingsdetaljer fra mobilen. Dette kan bakmennene bruke for økonomisk vinning.

– Men vi vet ennå ikke hvem som faktisk står bak Flubot, og hva de egentlig er ute etter. Dette er ikke et verktøy som er gjort tilgjengelig for andre via det mørket nettet, slik man gjerne ser med andre angrepsverktøy. Det kan tyde på at det er én aktør som står bak, og at de opererer med en egen kommandosentral, sier Busch.

At de som står bak Flubot vet hva de holder på med, mener han i hvert fall er helt sikkert:

– Dette er et svært avansert program, som ennå ikke slutter å overraske oss. Nylig gjorde vi det umulig for infiserte mobiler å sende ut SMS-er med lenker i vårt nett. Da så vi at viruset endret adferd, og i stedet begynte å sende ut kryptiske koder – som kan være forsøk på å teste ut blokkeringsmekanismene våre, sier Busch.

Flubot - slik kan en SMS se ut
Flutbot - slik kan en SMS se ut
Flubot - falsk melding
Flubot kamuflerer seg! Det som kan virke som en sikkerhetsoppdatering mot Flubot, er i realiteten Flubot selv som ønsker tilgang til din mobil. Trykker du på knappen her vil du altså installere viruset - og ikke forhindre det, slik det fremstår.

Enormt skadepotensial – også for bedrifter

At bakmennene vet hva de driver med, er også en tydelig indikator på hvor alvorlig det kan være om jobbmobilen til en ansatt i en bedrift blir infisert.

– Når du installerer Flubot, gir du samtidig viruset en rekke forskjellige tilganger til mobilen din. I praksis blir den da helt åpen og tilgjengelig for bakmennene – som kan se og gjøre det samme som deg. Dette kan dreie seg om innsideinformasjon, bankdetaljer eller brukernavn, passord og tofaktorkoder som trengs for å komme seg videre inn i bedriftens systemer, sier Busch.

Med de rette tilgangene, kan infiserte mobiler også brukes til utgående anrop uten at brukeren merker det – noe som kan åpne for omfattende direktørsvindel.

– Ved at trusselaktører kan sende ut meldinger, e-poster eller til og med ringe ut fra en mobil, kan de også potensielt opprette dialoger – der de også har mulighet til å svare på innkommende samtaler og meldinger, sier Busch.

Blir en bedrift rammet av Flubot, kan skadene bli omfattende.

– En ting er de direkte økonomiske tapene, som i seg selv kan være katastrofale. Men også bedriftens renommé kan få seg et slag for baugen: Hva vil mulige samarbeidspartnere tenke om en bedrift der en ansatts jobbmobil spyr ut tusenvis av virus-meldinger? Eller om din bedrift brukes som en brekkstang inn mot en større samarbeidspartner, fordi du har sluppet inn en trusselaktør?

Ved at trusselaktører kan sende ut meldinger, e-poster eller til og med ringe ut fra en mobil, kan de også potensielt opprette dialoger – der de også har mulighet til å svare på innkommende samtaler og meldinger.

Flutbot - Thorbjørn Busch, senior sikkerhetsanalytiker i Telenor
Thorbjørn Busch, senior sikkerhetsanalytiker i Telenor

Bare fantasien som setter grenser

Busch understreker at det foreløpig ikke har vært registrert noen tilfeller av Flubot-relaterte angrep rettet mot bedrifter.

– Foreløpig bærer angrepsbølgene preg av å være fullstendig automatiserte, og rettet mot alle. Her skytes det med hagle, der målet er å få infisert så mange mobiler som mulig – uansett hvem som eier dem.

Men akkurat slik Telenor stadig lærer mer om viruset og hvordan det virker, gjør også bakmennene dette.

– Selv om det er storskala nå, ser vi allerede at de begrensningene vi setter for spredningene gjør at bakmennene tilpasser seg dette. Da er det åpenbart ingenting i veien med at de kan bruke Flubot mer målrettet, og da er det ikke unaturlig at en bedrift kan være et attraktivt mål – siden det ofte er større summer å hente der, sier Busch.

– Foreløpig bærer dette kanskje litt preg av synsing, men det er likevel kvalifisert synsing. Det er dette cybersikkerhet i stor grad handler om, å se på tenkelig risiko og forsøke å komme nye trusler i møte så tidlig som mulig. Flubot er allerede i dag et kjempegodt etterretningsverktøy, der det bare er fantasien som setter grenser for skadene som kan oppstå.

Hva kan din bedrift gjøre?

– Enten det gjelder Flubot eller de mange andre truslene som kan ramme ansatte og deres mobiler, det er det åpenbart at bedrifter bør ansvarliggjøre den enkelte som jobber i bedriften, sier Busch.

Spesielt med tanke på hvordan de bruker jobbmobilen er dette viktig, påpeker han. Hva gjør bedriften for å sikre de ansattes mobilbruk – og dermed også bedriften?

– Mobilen inneholder ofte svært verdifull informasjon, og kan fungere som en nøkkel videre inn i bedriften systemer og nettverk. Samtidig er det sjelden noe grense mellom hva som er privat og hva som er bedriftsrelatert når de ansatte bruker mobilen, heller ikke når det kommer til sikkerhet, sier Busch.

Han mener derfor at det avgjørende å ha en helhetlig strategi for den digitale sikkerheten i bedriften – som også inkluderer å snakke med alle de ansatte om alt de må være obs på knyttet til meldinger og e-poster som kommer inn, selv om de fremstår som «private».

– Det er ikke alle bedrifter som har mulighet til å sette tilgangskontroller på flåten av Android-mobiler. Da må hver enkelt ansatt forstå hvorfor de for eksempel aldri må installere programmer fra kilder utenfor Google Play-butikken, sier Busch.

Hva bør du gjøre hvis du har mottatt en Flubot-SMS?

●       Ikke trykk på lenken – og ikke last ned appen

●       Har du lastet ned en slik app:

  • Hvis du har logget deg på noen nettsider med brukernavn og passord, må du bytte passord på disse umiddelbart. Sjansen er stor for at Flubot har fanget opp disse, og delt dem med svindlerne. Du burde også sperre eventuelle bankkort du har brukt via mobilen.

  • Det er i mange tilfeller mulig å fjerne Flubot etter å ha startet opp mobilen i Safe Mode.

  • Om dette ikke går, må du tilbakestille mobilen til fabrikkinnstillingene.
    Gjøres dette fra en backup, må man sørge for å gjøre dette fra en versjon som er fra før den ondsinnede programvaren ble installert.

●       Ta kontakt med din teleoperatør om du har flere spørsmål, eller trenger hjelp med å håndtere situasjonen.

Ønsker dere å styrke bedriftens sikkerhet?

Vi hjelper dere gjerne - send inn kontaktskjema, så tar vi kontakt.

Fyll ut skjema