NSM ved NCSC ønsker å sende en oppdatering til varsel om FluBot SMS-kampanje sendt 28. april [1]. NCSC har nå fått innrapportert flere tilfeller hvor innholdet i SMS-en er skrevet på godt norsk med større variasjon i budskapet, eksempelvis om en pakke på vei eller informasjon relatert til koronaviruset. I begge tilfeller vil SMS-en inneholde en ondsinnet lenke.

Telenor oppdaterte sin artikkel om FluBot i går, 31. mai, hvor de advarer mot at svært mange FluBot-meldinger nylig har blitt sendt ut. Brukere av Android ledes til en nettside som forsøker å installere FluBot-viruset på telefonen, mens brukere av iOS blir ledet til en phishing-side [2].

Dersom FluBot har blitt installert, anbefaler NCSC at telefonen tilbakestilles til fabrikkinnstillinger umiddelbart. Etter dette, bør passord endres for brukerkontoer som har vært benyttet eller lagret på telefonen etter at FluBot ble installert. Dette gjelder alle nettsider og applikasjoner man har logget på. Dersom passordet har vært gjenbrukt på flere tjenester, bør det også endres for disse [3]. I tillegg bør eventuelle bankkort benyttet via mobilen sperres [2].

Merk: for å unngå reinfeksjon, bør man ved gjenoppretting fra backup være helt sikker på at dette er fra et tidspunkt før FluBot ble installert.

For å beskytte seg selv og virksomheten for denne og tilsvarende fremtidige SMS-kampanjer, anbefaler NCSC følgende:
    - Utfør sikkerhetskopiering av enheten slik at viktig informasjon ikke går tapt.
    - Ikke installer applikasjoner fra ukjente kilder.
    - Aktiver Google Play Protect [4] dersom enheten støtter dette.
    - Unngå å trykke på ukjente lenker mottatt på SMS. Mottakere oppfordres heller til å skaffe informasjon via offisielle nettsider og applikasjoner.

Referanser:
[1] FluBot: Pågående SMS-kampanje
[2] https://www.online.no/sikkerhet/flubot-android-malware/
[3] https://www.ncsc.gov.uk/guidance/flubot-guidance-for-text-message-scam
[4] https://support.google.com/android/answer/2812853