Un’infezione che colpisce in modo mirato i dispositivi Android. Il malware in questione si chiama FluBot e rappresenta un serio rischio per i dispositivi a causa della sua elevata capacità di auto replicazione non appena ha accesso a smartphone e tablet.

Questa minaccia, come tante altre che circolano in rete, sfrutta il nome di una nota azienda di consegne per ingannare l’utente facendogli credere che un pacco lo stia aspettando. Il malware per mobile si diffonde tramite SMS, quindi tramite una campagna smishing.
In quest’articolo, dettagliamo come riconoscere e prevenire questa minaccia mobile.

flubot malware mobile
  1. Una definizione introduttiva a FluBot
  2. L’attacco FluBot in dettaglio
  3. L’azione di FluBot dopo l’installazione
  4. FluBot malware può infettare gli iphone?
  5. Come prevenire le minacce da FluBot
  6. Conclusioni su FluBot

Una definizione introduttiva a FluBot

Lo scopo di FluBot, in quanto malware che si diffonde tramite campagna di smishing, è indurre la potenziale vittima a fare clic su un collegamento infetto. Infatti, in questo caso, il messaggio supporta contenuti pubblicitari fraudolenti. Una volta stabilita la connessione, alla sfortunata vittima verrà chiesto d’installare un’app sconosciuta per ascoltare il messaggio audio che include tutte le informazioni della pubblicità.

Gli hacker utilizzano le tecniche di social engineering per convincere l’utente a cliccare sul contenuto.
Una volta dato l’accesso al file d’installazione del malware (naturalmente involontario), la minaccia prende rapidamente possesso del dispositivo e richiede l’accesso a tutte le posizioni sensibili dello smartphone.

FlutBot malware inizierà così a acquisire i contatti di rubrica della vittima ed usufruirne per espandere il più possibile la campagna di smishing.
Quando ciò accade, sarà difficile per l’utente rimuovere il malware, impedendogli di sbarazzarsi di tutti i componenti necessari per trasportare i dati rubati all’esterno.

L’attacco FluBot nel dettaglio

I criminali informatici utilizzano messaggi SMS per diffondere FluBot.
I messaggi di FluBot (scritti in diverse lingue) includono un link che riporta l’utente vittima su una pagina web truffaldina di tracciamento della spedizione che indirizza gli utenti a scaricare un file .APK che può indurr l’utente a pensare che si tratti del link all’installazione dell’applicazione FedEx o di altri noti corrieri. In realtà, si tratta proprio di FluBot malware, il quale si spaccia per FedEx e richiede una serie di autorizzazioni. Ad esempio, Flubot malware può utilizzare la funzione startForeground per:

  1. leggere i contatti
  2. scrivere, leggere e inviare messaggi SMS
  3. leggere lo stato del telefono
  4. mantenere il dispositivo attivo
  5. creare e pubblicare avvisi.

Inoltre, il malware per mobile può:

  1. richiede l’autorizzazione per eliminare i pacchetti
  2. eseguire il polling di tutte le app comuni installate sul dispositivo
  3. avviare i socket di rete
  4. effettuare chiamate telefoniche senza utilizzare l’interfaccia utente del dialer.

FluBot è in grado di ricevere ordini da un server Command and Control (C&C), inclusi quelli per disabilitare Google Play Protect, caricare messaggi SMS, caricare programmi, bloccare la scheda, aprire URL (indirizzi di siti Web) ed estrarre elenchi di contatti.

Come si comporta FluBot malware dopo l’installazione

Le tattiche di attacco principali includono la visualizzazione di una falsa pagina di verifica di Google Play Protect (per assomigliare a un controllo antivirus sull’app appena scaricata) che richiede i dati della tua carta di credito e la visualizzazione di false pagine di phishing all’apertura di determinate app (come Gmail, WhatsApp e Instagram) sostituendo le pagine che quelle app ti chiedono di visitare con moduli destinati al furto di dati.

I numeri di carta di credito o le informazioni di accesso all’app inviate dalla vittima vengono successivamente trasferiti al sito di controllo del malware.
FluBot può anche eseguire una vasta gamma d’istruzioni per assistere la sua attività:

  • Utilizzare il dispositivo infetto per inviare SMS a tutti i contatti presenti nella rubrica dell’utente, diffondendo la campagna anche a loro.
  • Rubando SMS e avvisi ricevuti sullo smartphone, è possibile per il malware recuperare i codici 2FA (quelli acquisiti durante l’accesso a servizi come la propria banca);
  • Eseguire i codici operatore (USSD) che consentono di attivare l’inoltro di chiamata (sempre per evitare l’autenticazione 2FA per alcuni servizi); monitorare e, se necessario, eliminare particolari programmi sul dispositivo, come gli strumenti anti-malware.
  • Utilizzare il dispositivo come proxy (per lanciare attacchi, coprire tracce o in generale registrare il dispositivo nella botnet).

È importante notare che, anche se l’infezione FluBot malware viene rimossa, alcune conseguenze potrebbero persistere nel tempo per il vostro dispositivo mobile.
Ad esempio, se il malware ha inviato messaggi di spam o pubblicità ingannevoli ai contatti dell’utente, potrebbe essere necessario informare queste persone dell’infezione e consigliare loro di non cliccare sui link o scaricare le app inviate.

FluBot malware può infettare gli iphone?

Flubot è un malware che si diffonde principalmente attraverso messaggi SMS fraudolenti e che mira ad infettare dispositivi Android. Al momento non esistono segnalazioni ufficiali di casi in cui Flubot abbia infettato dispositivi iPhone o altri dispositivi iOS.

Gli iPhone sono noti per essere generalmente meno suscettibili agli attacchi malware mobile rispetto ad altri dispositivi smartphone, grazie al sistema operativo iOS che è più chiuso e limita l’installazione di applicazioni da fonti esterne all’App Store.

Come prevenire le minacce da FluBot?

  • I messaggi con allegati o collegamenti a siti Web dovrebbero essere evitati, soprattutto se provengono da una fonte sconosciuta. I criminali informatici utilizzano spesso messaggi di questo tipo per distribuire infezioni.
  • Le app installate devono essere aggiornate e attivate utilizzando gli strumenti messi a disposizione dai creatori. Gli strumenti di terze parti non ufficiali sono spesso dannosi. Inoltre, è legalmente vietato utilizzare strumenti di “cracking” o software piratato per eludere l’attivazione di qualsiasi programma concesso in licenza.
  • Infine, è importante fare regolarmente il backup dei dati del dispositivo in modo da poter ripristinare i dati nel caso in cui il dispositivo dovesse essere infettato o danneggiato.

Conclusioni su FluBot

Il FluBot per mobile è una minaccia potenzialmente pericolosa che non dovrebbe essere sottovalutata.
Questo malware è stato progettato per infiltrarsi nei dispositivi e raccogliere informazioni sensibili come:

  • password
  • numeri di carte di credito
  • numeri di telefono della rubrica
  • dati bancari.

Una volta ottenuti questi dati, il malware li invia ad un server esterno al gruppo di malware che possono utilizzarli per commettere frodi o per altri fini illeciti.

Si tratta di una minaccia che può causare danni significativi, sia a livello finanziario che di privacy.
Se il tuo dispositivo viene infettato ci sono buone probabilità che i tuoi dati sensibili finiscano nelle mani della criminalità informatica, il che potrebbe portare a conseguenze serie. Inoltre, il FluBot è in grado di diffondersi rapidamente, quindi può facilmente colpire un gran numero di utenti in un breve periodo di tempo. Per proteggere il tuo dispositivo da questo malware, è indispensabile essere sempre attenti a ciò che si scarica e installa, evitare di aprire link sospetti o di rispondere a messaggi di phishing e tenere il dispositivo aggiornato con gli ultimi aggiornamenti di sicurezza.

In conclusione, FluBot potrebbe tornare in auge quest’anno.