Malware Flubot: cos’è e come difendersi

Di recente, ha fatto il suo ingresso tra le minacce informatiche un nuovo malware: il Flubot.

La diffusione del malware che prende il nome di Flubot, infatti, è abbastanza recente e ancora in atto in Italia e in molti paesi europei.

Il Flubot è un trojan bancario, che riesce a rubare le credenziali di accesso dei soggetti ai propri conti corrente, i loro codici di autenticazione a due fattori e le password delle app, quali Facebook, Whatsapp, Gmail e simili.

Il trojan in questione è pensato per dispositivi e sistemi operativi Android e sta avendo un’espansione molto rapida e capillare nel nostro paese, procurando danni significativi proprio a causa della sua capacità di impossessarsi delle informazioni sensibili delle vittime.

Avevamo già parlato di furto d’identità digitale, ma questo malware è più sofisticato.

Il malware Flubot viene diffuso e fatto circolare tramite l’invio di messaggi SMS, che infettano il dispositivo. I messaggi relativi a consegna o ritiro di pacchi fanno riferimento a finte spedizioni del corriere DHL o anche UPS e altri e invitano l’utente a tracciare il pacco e a visualizzare indicazioni ulteriori relative all’ordine, cliccando sul link riportato nel corpo dell’SMS.

Fino ad ora, gli analisti del CERT-AgID hanno isolato due varianti di questo malware e le hanno identificate come 3.9 e 4.0.

Ciò che cambia tra le due versioni è il fatto che, nella versione 3.9, l’SMS di phishing invita il malcapitato a tracciare l’ordine online, mentre nella versione 4.0 il messaggio indica la mancata consegna del pacco e chiede di pianificare una nuova spedizione attraverso il link riportato.

Ad oggi, il Flubot non ha coinvolto solo l’Italia, ma si sta diffondendo in breve tempo anche in altri paesi europei, come Germania, Polonia, Ungheria, Spagna e anche nel Regno Unito.
Dagli accertamenti fatti, sembra che il malware non attacchi i paesi della ex URSS, in quanto non si attiva su dispositivi che utilizzino lingue come armeno, azerbaigiano, bielorusso, georgiano, kazaco, rumeno, russo, tagico, turco, uzbeco e lingua kirghisa.

Secondo gli esperti, non si tratta di un semplice phishing messo in atto e realizzato attraverso SMS, noto anche come smishing e utilizzato dai cyber criminali per spingere le vittime a cedere le proprie credenziali di accesso, i dati sensibili o gli estremi del proprio conto corrente.

In questo caso, invece, si tratta di una vera e propria distribuzione di massa dell’infostealer Flubot diretta a colpire i dispositivi Android e con l’obiettivo di sottrarre dati di carte di credito e credenziali a doppio fattore di autenticazione (2FA) utilizzate per accedere ai servizi di home banking.

Inoltre, il Flubot riesce ad auto diffondersi attraverso l’invio di SMS alla lista contatti della vittima, così da arrivare a infettare più dispositivi possibile.
Questa è una caratteristica che si trova di frequente nei malware diretti ai dispositivi Android, che prendono il controllo del dispositivo servendosi del servizio di accessibilità pensato per assistere gli utenti nello svolgimento di attività, quali la lettura dello schermo per i non vedenti o l’interazione con il dispositivo per facilitarne l’utilizzo da parte di utenti diversamente abili.

Il Flubot non ha accesso a file, dati e applicazioni presenti sui dispositivi Android, in quanto manca dei relativi permessi: proprio per questo motivo, al malware serve l’interazione dell’utente per avere ingresso al dispositivo.

Per fare ciò, si serve dell’invio di un finto SMS, invitando l’utente a cliccare sul link riportato in esso. Una volta aperto il link, viene visualizzata una pagina Web con il logo di DHL e si viene invitati a scaricare un file DHL.apk.
Fatto questo, il malware richiede l’abilitazione dell’app scaricata da parte dell’utente come servizio di accessibilità del dispositivo.
La vittima viene indirizzata automaticamente alla pagina di Google e, aperto il file APK, inizia ad attivarsi e a trasmettersi il Flubot.
Il malware presenta una finta pagina di verifica di Google Play Protect, simulando un controllo antivirus sull’app scaricata: in questo modo, chiede di inserire i dati della carta di credito. Inoltre, mostra finte pagine di phishing all’apertura di app come WhatsApp, Instagram e Gmail, sostituendo le pagine richieste dalle app con un form predisposto per il furto dei dati.
I dati inseriti dall’utente vittima sono inviati al server di controllo del Flubot.
Inoltre, il malware riesce ad eseguire una serie di comandi per gestire il furto di dati, ossia:

• l’invio di SMS dal contenuto arbitrario in modo da facilitare la diffusione: ciò fa pensare che i primi ad essere infetti sono gli stessi mittenti degli SMS che diffondono il Flubot;
• il recupero dei codici di accesso con autenticazione a due fattori (2FA) ricevuti quando si accede a servizi bancari: il malware, infatti, intercetta SMS e notifiche inviate al dispositivo per l’accesso;
• il monitoraggio e l’eventuale disinstallazione di app del dispositivo capaci di rimuovere i malware;
• l’esecuzione dei codici operatore (USSD) per abilitare deviazioni di chiamata, così da intercettare eventuali chiamate disposte per l’autenticazione a due fattori;
• l’apertura di pagine web arbitrarie;
• l’utilizzo del dispositivo come proxy, in modo da lanciare attacchi e da registrare il dispositivo nella botnet.

Flubot, come prevenire il rischio di contagio