Il malware FluBot torna all’attacco, minacciando nuovamente gli utenti con dispositivi iOS e Android (ma con quest’ultimi bersaglio dell’attacco) sempre con la medesima tecnica, lo smishing, ma con un’esca diversa. La nuova campagna utilizza una falsa app per ascoltare un fantomatico messaggio vocale, ma il malware utilizza i contatti per replicarsi e ruba le informazioni bancarie della vittima. Questo il risultato della ricerca di Bitdefender Labs.
L’infezione su Android
La nuova campagna FluBot secondo l’agenzia di sicurezza informatica, ha avuto inizio a Pasqua, in Romania, paese di origine di Bitdefender. La tecnica è la stessa utilizzata dai malintenzionati in passato. un SMS inoltrato sui telefoni cellulari che pubblicizza contenuti falsi, in questo caso in genere un messaggio vocale. Utenti iOS e Android ricevono in egual misura questi SMS, con i dispositivi con a bordo il robottino verde, i bersagli principali.
L’SMS inoltrato, come nell’esempio sopra, richiede di compiere un’azione, cliccando su un link malevolo. Che sia un falso tracking di una fantomatica spedizione, o un messaggio vocale da ascoltare, cliccando sul link appare una schermata in cui viene richiesto all’utente di installare un’applicazione sconosciuta, come ad esempio un’app di segreteria telefonica fasulla, utile ad ascoltare il messaggio vocale di cui si parla nell’SMS.
Confermando, sul terminale verrà installato il trojan bancario FluBot. Seguendo le istruzioni, l’app richiederà i permessi di accessibilità, per avere accesso alle aree di interesse del dispositivo. Concedendo i vari permessi, l’app malevola raccoglierà i dati della vittima e utilizzerà l’app di messaggistica per replicarsi e inviare il link da cui scaricare il trojan stesso. Anche la disinstallazione verrà resa difficile, grazie ai privilegi concessi.
Cosa succede su iOS
I dispositivi con a bordo a iOS sono abbastanza al sicuro da FluBot, dacché non funziona sui terminali Apple. Tuttavia se i possessori di iPhone accedono ai link infetti, vengono reindirizzati a siti di phishing e a truffe degli abbonamenti. Ad esempio, l’utente verrà indirizzato ad un sito in cui viene incoraggiato a rispondere a delle domande di inesistenti ricerche di mercato in cambio di un iPhone 13.
La campagna ha avuto inizio a Pasqua in Romania, ma si è diffusa in seguito in tutta Europa, con un picco importante tra aprile e maggio. I Paesi più colpiti sono Austria, Danimarca, Finlandia, Germania, Polonia, Regno Unito, Romania, Spagna e Svezia. Romania e Germania i più colpiti in assoluto, con una quota del 69% combinata.
I vari Paesi sono stati colpiti nello stesso periodo, ma confrontando tra coppie casuali, si intuisce che i picchi d’attacco non coincidono. Secondo Bitdefender, ciò è segno che le campagne individuali e localizzate sono state programmate dall’inizio. Complessivamente i criminali informatici dietro alla campagna sembrano concentrarsi sulla localizzazione di campagne più piccole e individuali nei vari Paesi.
Sono state arrestate diverse persone sospettate della diffusione del malware, ma le campagne si sono intensificate nell’ultimo periodo. Potrebbe significare che in futuro potrebbero verificarsi altre ondate in futuro. Non solo FluBot: i mobile malware hanno visto in Europa un incremento del 500% nel 2022.
Leave a Reply