Negli ultimi mesi in Italia sembra essersi molto diffuso un nuovo malware chiamato Flu Bot. Il suo obiettivo sono i device mobili con sistema operativo Android e si diffonde principalmente via SMS, come hanno spiegato i tecnici del CERT di AgID.
Lo stesso team tecnico italiano ha anche notato come Flu Bot sia anche in grado di rubare somme di denaro previo furto di credenziali di sistemi bancari e di tutti i contatti delle vittime. Come già detto, il malware si diffonde, attualmente, via SMS, con finti messaggi da parte di corrieri che avvisano dell’arrivo di un pacco. All’interno del messaggio è presente l’invito a fare clic su un link per monitorare la spedizione.
Questo è il primo punto chiave per evitare di essere colpiti da Flu Bot, poiché il link rimanda ad un dominio che non appartiene ai vettori citati in oggetto (principalmente DHL o UPS), ma laloorna.com. Se il collegamento, quindi, rimanda a questo sito il messaggio può già essere cestinato.
Ma ponendo il caso di aver fatto comunque tap sul link, navigando il sito, che è stato appositamente modellato per apparire come quello del corriere in intestazione, sarà possibile vedere che i tanti collegamenti non portano a nessuna pagina. Molto spesso infatti questi siti per fare phishing sfruttano soltanto una pagina con una maschera di login.
Aver ricevuto il messaggio o aver fatto tap sul link, di per sé, non equivale ad essere infettati. Per fare iniziare la catena di contagio, infatti, è necessario fare tap anche sull’invito a scaricare una app di tracking. Questa applicazione è in formato .apk e sarà essa a rubare i dati utili presenti nel device mobile.
Per evitare che Flu Bot inizi a prelevare credenziali ed altri contenuti, però, la vittima dovrà negare il permesso di attivare il servizio di accessibilità quando richiesto. Se invece viene dato il consenso a questa funzionalità ed all’accesso alle notifiche, Flu Bot comincerà innanzitutto a rubare rubrica ed SMS. Ed è solo l’inizio.
Successivamente verranno chieste, mediante notifica, le credenziali per l’app di home banking, ove presente sul device. Questo succede anche se viene aperta quest’ultima app in modo slegato dalla notifica. Se questa operazione viene evitata è comunque necessario avvertire la propria banca per sicurezza e i propri contatti, che potrebbero iniziare a ricevere SMS fasulli.
Il team del CERT di AgID ha fornito anche alcune linee guida per procedere alla disinstallazione di Flu Bot. Per correre il minor numero di rischi potrebbe essere necessario un reset totale del device. Per disinstallare il malware, invece, è necessario installare un app vuota che è possibile trovare su GitHub e che sovrascriverà Flu Bot. Se si tenta di cancellarla in modo consueto, il malware chiuderà sempre la finestra impedendo la rimozione.
Dopo la disinstallazione delle app vuote trovate su GitHub si potrà finalmente tornare ad utilizzare il dispositivo. Ricordiamo però che è importante bloccare le proprie carte e cambiare tutte le credenziali più importanti dei propri profili, SPID compreso.
Fonte: 1