Un nuovo malware si sta diffondendo velocemente in tutta Italia e in molti paesi europei. Arriva tramite SMS e infetta i dispositivi Android. Non si tratta solo di smishing (phishing via SMS), ma di una pericolosa campagna di distribuzione di un malware denominato FluBot in grado di rubare i dati di carta di credito e le credenziali di doppia autenticazione, utilizzate per l’accesso ai servizi di home banking. A renderlo noto gli analisti di CERT-AgID.
Come funziona FluBot
Dopo aver infettato il telefono il FluBot è in grado di diffondersi tramite SMS anche a tutti i contatti presenti in rubrica, aumentando esponenzialmente il numero di vittime e dati rubati. Questa caratteristica accomuna FluBot alla maggior parte dei malware che sfruttano le falle di Android riuscendo a prendere controllo del dispositivo utilizzando la modalità “accessibilità”, usata per la lettura dello schermo per ipovedenti o nell’interazione mediante il clic assistito per gli utenti disabili.
Per poter essere installato FluBot utilizza la tecnica del finto SMS che avvisa di un pacco in arrivo tramite corriere DHL. L’SMS contiene un link per il tracciamento del pacco che, se cliccato, porta ad una pagina web mascherata con il logo di DHL, dove viene proposto il download di un’applicazione che, una volta scaricata, chiede di avere accesso al servizio di accessibilità del dispositivo.
Da quel momento il malware inizia ad agire indisturbato intercettando tutti i dati dei numeri delle carte di credito, tutte le credenziali di accesso alle tutte le app, comprese quelle di home banking e intercettando i codici 2FA (utilizzati per l’accesso sicuro). Il malware è inoltre in grado di disattivare o disinstallare le applicazioni di sicurezza come ad esempio antivirus o gli strumenti di rimozione del malware e di utilizzare il telefono come proxy per lanciare attacchi hacker.
Le varianti di SMS contente il link a FluBot
Per il momento sono due le varianti di FluBot individuate dagli analisti del CERT-AgID. Per entrambe l’esca è la notifica di un pacco in arrivo tramite DHL, ma se nella prima versione l’SMS invita a tracciare l’ordine, nella seconda versione (più recente) il messaggio fa riferimento ad una mancata consegna del pacco e chiede di pianificarne una nuova.
Come difendersi da FluBot
FluBot si sta diffondendo in tutti i paesi europei tranne quelli i cui dispositivi Android usano una di queste lingue: uzbeco, turco, tagico, russo, rumeno, lingua kirghisa, kazaco, georgiano, armeno, bielorusso o azerbaigiano.L’unico modo per difendersi da questo tipo di minaccia è non cliccare mai su link non verificati e non installare app di dubbia provenienza. In caso si venisse infettati, seguire tutte le indicazioni presenti sul sito del CERT-AgID per la rimozione sicura di FluBot.
