Stare al passo con gli aggiornamenti di sicurezza è fondamentale per proteggersi dagli attacchi informatici. Ma quando il security update è falso, il contagio è praticamente certo. Il messaggio può sembrare contraddittorio, tuttavia i cyber criminali che diffondono il malware FluBot per Android hanno adottato l'esca dell'aggiornamento per far abboccare le proprie vittime.

Le potenziali vittime ricevono inizialmente un SMS con pretesti vari, come mancata consegna di un pacco o dati persi online. Cliccando sul contenuto viene visualizzato un messaggio: "Android ha rilevato che il tuo dispositivo è stato infettato dal malware FluBot. FluBot è uno spyware Android che mira a rubare credenziali di accesso a servizi finanziari e password dal tuo dispositivo. Devi installare un aggiornamento di sicurezza Android per rimuovere FluBot".

https://twitter.com/CERTNZ/status/1443701946485927944?s=20

Il messaggio ha il triplice obiettivo di spaventare l'utente creando uno stato di ansia, instillare un senso d'urgenza per l'attuazione del rimedio e fornire una soluzione pronta all'uso per ottenere questo risultato. Sono tre dei pilastri fondamentali delle tecniche di social engineering, assemblate in maniera tanto sintetica quanto efficace.

Chi riconosce questi tre segnali dovrebbe avere il sangue freddo di fermarsi e di non fare assolutamente nulla. Farebbe bene, perché a questo punto della catena d'attacco il sistema operativo non ha subito alcuna infezione. Chi si fa prendere dal panico e segue freneticamente la procedura consigliata, scaricherà davvero FluBot sullo smartphone, con tutte le conseguenze del caso.

FluBot

FluBot (noto anche comeCabassouseFedex Banker) è un malware bancario avvistato per la prima volta in Spagna alla fine del 2020. Dal primo trimestre del 2021 è stato protagonista di molti attacchi in altri Paesi europei e in Giappone. Viene usato per rubare credenziali bancarie, informazioni di pagamento, contatti e altro dai dispositivi compromessi.

Fino ad ora,Flubotsi è diffuso sui sistemi Android mediante SMS spediti alla lista dei contatti rubati dai dispositivi già infetti. Una volta installato, infatti, esfiltra la rubrica dei contatti sul suo server di comando e controllo, monitora le notifiche di sistema, legge i messaggi SMS ed effettua telefonate. Le attività dannose avvengono in background, così che l'utente non si rende conto di nulla.

Questo malware utilizza un DGA (Domain Generation Algorithm) per generare nuovi nomi di dominio e indirizzi IP dei server di comando e controllo. Così facendo domini e indirizzi sembrano casuali, rendendo quasi impossibile rilevare e contenere gli attacchi. Per la risoluzione dei nomi di dominio sfrutta poi il protocollo DoH (DNS-over-HTTPS).

Nonostante a marzo del 2021 la Polizia catalana abbia arrestato più persone sospettate di essere coinvolte nelle campagne di attacco con questo malware, la sua attività ha continuato a intensificarsi.