Malware Flubot: cos’è e come difendersi

Scritto da Webristle

Mag 26, 2021

Maggio 26, 2021

Di recente, ha fatto il suo ingresso tra le minacce informatiche un nuovo malware: il Flubot.

La diffusione del malware che prende il nome di Flubot, infatti, è abbastanza recente e ancora in atto in Italia e in molti paesi europei.

Il Flubot è un trojan bancario, che riesce a rubare le credenziali di accesso dei soggetti ai propri conti corrente, i loro codici di autenticazione a due fattori e le password delle app, quali FacebookWhatsapp, Gmail e simili.

Il trojan in questione è pensato per dispositivi e sistemi operativi Android e sta avendo un’espansione molto rapida e capillare nel nostro paese, procurando danni significativi proprio a causa della sua capacità di impossessarsi delle informazioni sensibili delle vittime.

Avevamo già parlato di furto d’identità digitale, ma questo malware è più sofisticato.

Malware Flubot, diffusione

Il malware Flubot viene diffuso e fatto circolare tramite l’invio di messaggi SMS, che infettano il dispositivo. I messaggi relativi a consegna o ritiro di pacchi fanno riferimento a finte spedizioni del corriere DHL o anche UPS e altri e invitano l’utente a tracciare il pacco e a visualizzare indicazioni ulteriori relative all’ordine, cliccando sul link riportato nel corpo dell’SMS.

Fino ad ora, gli analisti del CERT-AgID hanno isolato due varianti di questo malware e le hanno identificate come 3.9 e 4.0.

Ciò che cambia tra le due versioni è il fatto che, nella versione 3.9, l’SMS di phishing invita il malcapitato a tracciare l’ordine online, mentre nella versione 4.0 il messaggio indica la mancata consegna del pacco e chiede di pianificare una nuova spedizione attraverso il link riportato.

Ad oggi, il Flubot non ha coinvolto solo l’Italia, ma si sta diffondendo in breve tempo anche in altri paesi europei, come Germania, Polonia, Ungheria, Spagna e anche nel Regno Unito.
Dagli accertamenti fatti, sembra che il malware
non attacchi i paesi della ex URSS, in quanto non si attiva su dispositivi che utilizzino lingue come armeno, azerbaigiano, bielorusso, georgiano, kazaco, rumeno, russo, tagico, turco, uzbeco e lingua kirghisa.

Malware Flubot, dettagli tecnici

Secondo gli esperti, non si tratta di un semplice phishing messo in atto e realizzato attraverso SMS, noto anche come smishing e utilizzato dai cyber criminali per spingere le vittime a cedere le proprie credenziali di accesso, i dati sensibili o gli estremi del proprio conto corrente.

In questo caso, invece, si tratta di una vera e propria distribuzione di massa dell’infostealer Flubot diretta a colpire i dispositivi Android e con l’obiettivo di sottrarre dati di carte di credito e credenziali a doppio fattore di autenticazione (2FA) utilizzate per accedere ai servizi di home banking.

Inoltre, il Flubot riesce ad auto diffondersi attraverso l’invio di SMS alla lista contatti della vittima, così da arrivare a infettare più dispositivi possibile.
Questa è una caratteristica che si trova di frequente nei malware diretti ai dispositivi Android, che prendono il
controllo del dispositivo servendosi del servizio di accessibilità pensato per assistere gli utenti nello svolgimento di attività, quali la lettura dello schermo per i non vedenti o l’interazione con il dispositivo per facilitarne l’utilizzo da parte di utenti diversamente abili.

Flubot, funzionamento

Il Flubot non ha accesso a file, dati e applicazioni presenti sui dispositivi Android, in quanto manca dei relativi permessi: proprio per questo motivo, al malware serve l’interazione dell’utente per avere ingresso al dispositivo.

Per fare ciò, si serve dell’invio di un finto SMS, invitando l’utente a cliccare sul link riportato in esso. Una volta aperto il link, viene visualizzata una pagina Web con il logo di DHL e si viene invitati a scaricare un file DHL.apk.
Fatto questo, il malware
richiede l’abilitazione dell’app scaricata da parte dell’utente come servizio di accessibilità del dispositivo.
La vittima viene indirizzata automaticamente alla pagina di Google e, aperto il file APK, inizia ad attivarsi e a trasmettersi il Flubot.
Il malware presenta una
finta pagina di verifica di Google Play Protect, simulando un controllo antivirus sull’app scaricata: in questo modo, chiede di inserire i dati della carta di credito. Inoltre, mostra finte pagine di phishing all’apertura di app come WhatsApp, Instagram e Gmail, sostituendo le pagine richieste dalle app con un form predisposto per il furto dei dati.
I dati inseriti dall’utente vittima sono inviati al server di controllo del Flubot.
Inoltre, il malware riesce ad eseguire
una serie di comandi per gestire il furto di dati, ossia:

  • l’invio di SMS dal contenuto arbitrario in modo da facilitare la diffusione: ciò fa pensare che i primi ad essere infetti sono gli stessi mittenti degli SMS che diffondono il Flubot;
  • il recupero dei codici di accesso con autenticazione a due fattori (2FA) ricevuti quando si accede a servizi bancari: il malware, infatti, intercetta SMS e notifiche inviate al dispositivo per l’accesso;
  • il monitoraggio e l’eventuale disinstallazione di app del dispositivo capaci di rimuovere i malware;
  • l’esecuzione dei codici operatore (USSD) per abilitare deviazioni di chiamata, così da intercettare eventuali chiamate disposte per l’autenticazione a due fattori;
  • l’apertura di pagine web arbitrarie;
  • l’utilizzo del dispositivo come proxy, in modo da lanciare attacchi e da registrare il dispositivo nella botnet.

Flubot, come prevenire il rischio di contagio

Il primo consiglio per evitare di infettare il proprio dispositivo è quello di controllare sempre il nome del dominio a cui si viene reindirizzati attraverso il link contenuto nell’SMS: infatti, se il sito è diverso da quello del corriere, che sia DHL, UPS o altri, questo è di certo indice di un messaggio malevolo.

Ricevere l’SMS o aprire il link contenuto nel messaggio non sono sufficienti da soli a infettare il dispositivo: è necessario che l’utente proceda al download e all’installazione dell’app perché il dispositivo possa essere compromesso.

Sul sito del CERT-AgID, è possibile trovare le istruzioni da seguire nel caso in cui il proprio dispositivo sia infettato da questo malware.
Per
rimuovere il Flubot, invece, potete scaricare lo strumento dal sito GitHub, cliccando sui pulsati della pagina ed eseguendo il download di applicazioni che sono apparentemente vuote, ma che in realtà sono aggiornamenti dell’app usata per diffondere Flubot: una volta installati, questi vanno a sovrascrivere l’app del malware. Dopo la rimozione dei componenti del malware da parte degli aggiornamenti scaricati, potrete rimuovere anche l’app infetta.

Articoli correlati

Venus Ransomware

Quando è stato scoperto il ransomware Venus? Venus ransomware, noto anche come Goodgame, ha attirato l'attenzione dall'agosto 2022 ma i relativi campioni sono noti almeno dalla metà del 2021. Ci sono sufficienti marcatori e altri metadati presenti nei campioni di...

Disaster recovery: cos’è e come funziona

Disaster recovery: cos’è e come funziona

ll Disaster Recovery (DR) è una strategia di business continuity che consente alle aziende di ripristinare i sistemi informatici e le applicazioni in caso di interruzione dovuta a eventi catastrofici, come disastri naturali, attacchi informatici o guasti tecnici. Il...

Zero Trust: cos’è e come migliora la sicurezza informatica

Zero Trust: cos’è e come migliora la sicurezza informatica

Cosa si intende per zero trust? Cosa significa approccio zero trust? Il termine "zero trust" si riferisce al modello di sicurezza che non ha fiducia nell'autenticità degli utenti, dei dispositivi o delle reti, fino a quando non sono stati verificati. Nessuno può...

Iscriviti alla nostra Newsletter

Ricevi consigli utili su come mantenerti sicuro nel mondo digitale una volta al mese!