Un nuovo malware si sta diffondendo velocemente in tutta Italia e in molti paesi europei. Arriva tramite SMS e infetta i dispositivi Android. Non si tratta solo di smishing (phishing via SMS), ma di una pericolosa campagna di distribuzione di un malware denominato FluBot in grado di rubare i dati di carta di credito e le credenziali di doppia autenticazione, utilizzate per l’accesso ai servizi di home banking. A renderlo noto gli analisti di CERT-AgID.

Come funziona FluBot

Dopo aver infettato il telefono il FluBot è in grado di diffondersi tramite SMS anche a tutti i contatti presenti in rubrica, aumentando esponenzialmente il numero di vittime e dati rubati. Questa caratteristica accomuna FluBot alla maggior parte dei malware che sfruttano le falle di Android riuscendo a prendere controllo del dispositivo utilizzando la modalità “accessibilità”, usata per la lettura dello schermo per ipovedenti o nell’interazione mediante il clic assistito per gli utenti disabili.

Per poter essere installato FluBot utilizza la tecnica del finto SMS che avvisa di un pacco in arrivo tramite corriere DHL. L’SMS contiene un link per il tracciamento del pacco che, se cliccato, porta ad una pagina web mascherata con il logo di DHL, dove viene proposto il download di un’applicazione che, una volta scaricata, chiede di avere accesso al servizio di accessibilità del dispositivo. 

Da quel momento il malware inizia ad agire indisturbato intercettando tutti i dati dei numeri delle carte di credito, tutte le credenziali di accesso alle tutte le app, comprese quelle di home banking e intercettando i codici 2FA (utilizzati per l’accesso sicuro). Il malware è inoltre in grado di disattivare o disinstallare le applicazioni di sicurezza come ad esempio antivirus o gli strumenti di rimozione del malware e di utilizzare il telefono come proxy per lanciare attacchi hacker.

Le varianti di SMS contente il link a FluBot

Per il momento sono due le varianti di FluBot individuate dagli analisti del CERT-AgID. Per entrambe l’esca è la notifica di un pacco in arrivo tramite DHL, ma se nella prima versione l’SMS invita a tracciare l’ordine, nella seconda versione (più recente) il messaggio fa riferimento ad una mancata consegna del pacco e chiede di pianificarne una nuova.

Come difendersi da FluBot

FluBot si sta diffondendo in tutti i paesi europei tranne quelli i cui dispositivi Android usano una di queste lingue: uzbeco, turco, tagico, russo, rumeno, lingua kirghisa, kazaco, georgiano, armeno, bielorusso o azerbaigiano.L’unico modo per difendersi da questo tipo di minaccia è non cliccare mai su link non verificati e non installare app di dubbia provenienza. In caso si venisse infettati, seguire tutte le indicazioni presenti sul sito del CERT-AgID per la rimozione sicura di FluBot.

Tags: , , , , , , , , ,

Utilizziamo i cookie, inclusi cookie di terzi, per consentire il funzionamento del sito, per ragioni statistiche, per personalizzare la sua esperienza e offrirle la pubblicità che più incontra i suoi gusti ed infine analizzare la performance delle nostre campagne pubblicitarie.
Può accettare questi cookie cliccando su "Accetto", o cliccare qui per impostare le sue preferenze. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi