FluBot: phishing via SMS relativo alla consegna dei pacchi

Nelle ultime settimane, gli utenti di dispositivi mobili di diversi Paesi hanno ricevuto messaggi SMS mascherati da link a un Trojan bancario chiamato "FluBot". Questa minaccia finge di essere un'azienda di consegne e chiede agli utenti di installare un'app di tracciamento per seguire lo stato del loro pacco. Tuttavia, ciò che l'app fa in realtà è rubare le credenziali e altri dati personali dell'utente.

Avast, che rileva e blocca questa minaccia per proteggere i suoi utenti Android, segnala quotidianamente i campioni di FluBot attraverso la sua piattaforma di intelligence sulle minacce mobili "apklab.io". Secondo una recente ricerca, FluBot ha finora infettato 60.000 dispositivi. ascend

secondo una recente ricerca, FluBot ha finora infettato 60.000 dispositivi e il numero totale di numeri di telefono raccolti dagli aggressori è stato stimato a 11 milioni all'inizio di marzo. "I primi attacchi FluBot sono stati segnalati settimane fa, ma vediamo ancora decine di nuove versioni in evoluzione ogni giorno", ha dichiarato Ondrej David, responsabile del Malware Analysis Team di Avast. "Al momento, gli obiettivi principali di questa campagna sono Spagna, Italia, Germania, Ungheria, Polonia e Regno Unito, ma c'è la possibilità che la portata dell'operazione venga estesa ad altri Paesi nel breve termine".



Sebbene le soluzioni di sicurezza stiano bloccando questi attacchi, la rapida evoluzione di questa campagna dimostra che ha successo, quindi invitiamo i cittadini a prestare molta attenzione a tutti gli SMS in entrata che ricevono, soprattutto quelli che riguardano i servizi di consegna".Come funziona FluBot FluBot è un esempio di campagna malware basata su SMS. Si diffonde inviando messaggi SMS in cui si afferma che il destinatario ha ricevuto un pacco e lo si invita a scaricare un'applicazione di tracciamento tramite un link incluso nel messaggio stesso. Se il destinatario clicca sul link, viene indirizzato a una pagina web dove può scaricare l'applicazione. Ma l'applicazione è un malware che, una volta installato, ruba le informazioni di contatto della vittima e le carica su un server remoto.

Queste informazioni vengono poi utilizzate dal server per inviare messaggi simili e distribuire ulteriormente gli SMS dannosi ai contatti. L'applicazione dannosa utilizza un componente di Android, noto come "Accessibility", per monitorare ciò che accade sul dispositivo e prenderne il controllo. In questo modo, l'app può visualizzare finestre in sovraimpressione ad alta priorità. In altre parole, il malware può visualizzare qualsiasi cosa in cima a ciò che è attualmente sullo schermo. Ad esempio, un falso portale bancario che appare sopra un'applicazione bancaria legittima.

Questo stesso componente viene anche sfruttato dal malware come meccanismo di autodifesa per annullare qualsiasi tentativo di disinstallazione da parte degli utenti interessati, rendendone difficile la rimozione.

"Ciò che rende questo malware particolarmente pericoloso è che si camuffa da servizio di consegna pacchi, utilizzando messaggi come "Il tuo pacco è in arrivo, scarica l'app di tracciamento" o "Non sei riuscito a ritirare il tuo pacco, scarica l'app di tracciamento", di cui molti utenti ignari possono facilmente essere vittime.

Questa situazione è particolarmente familiare nella situazione attuale, in cui qualsiasi forma di consegna a domicilio è diventata la modalità operativa standard per molte aziende durante la pandemia", ha dichiarato Ondrej David. Durante la pandemia, sempre più persone si sono abituate a fare acquisti online. In Spagna, infatti, gli acquisti online sono cresciuti del 46%.



I criminali informatici che sviluppano questo tipo di malware sfruttano le tendenze e gli eventi attuali per assicurarsi di attirare il maggior numero possibile di potenziali vittime.Come proteggersi da FluBot?Innanzitutto installando una soluzione antivirus che prevenga minacce come FluBot. Avast Antivirus per Android rileva, avvisa e protegge gli utenti da tali minacce. Inoltre, se un utente ritiene di essere già stato infettato da FluBot, può installare l'applicazione antivirus per eseguire una scansione del dispositivo e identificare il malware. Se viene rilevato, è consigliabile riavviare il dispositivo in modalità provvisoria e disinstallare l'applicazione dannosa da lì. estar



In questo modo si disabiliteranno momentaneamente anche tutte le altre applicazioni di terze parti, che però torneranno a funzionare quando il dispositivo verrà riavviato. Se gli utenti ritengono di essere stati vittime di un furto di credenziali in seguito a questo attacco, è consigliabile reimpostare le password dei servizi che si ritiene possano essere stati compromessi, come ad esempio le applicazioni bancarie. Inoltre, si consiglia agli utenti di adottare le seguenti misure per proteggersi da FluBot e da altri attacchi di phishing mirati ai dispositivi mobili:

• Non fare clic sui link contenuti nei messaggi SMS. Soprattutto se il messaggio chiede di installare un software o un'applicazione sul dispositivo.
• Siate scettici. Diffidate di qualsiasi SMS sospetto. Se si riceve una notifica che non ci si aspettava, è meglio contattare la società responsabile utilizzando le informazioni di contatto fornite sul suo sito web ufficiale, per confermare il messaggio ricevuto. Non rispondete direttamente a una notifica sospetta. Avviate sempre una conversazione attraverso i canali di comunicazione ufficiali dell'azienda.
• Interrogate il messaggio. È importante allenare la vista per individuare i messaggi che nascondono una campagna di phishing. Questi tendono a essere generici e a diffondersi in massa, inoltre sono spesso automatizzati o possono presentare un'offerta che sembra troppo bella per essere vera (ad esempio, vincere un nuovo smartphone o ereditare una grossa somma di denaro da un parente sconosciuto).
• Non installate applicazioni che non provengano da negozi di applicazioni ufficiali. Google Apple La maggior parte dei gestori ha le proprie app disponibili in negozi affidabili come Play o App Store. Si consiglia inoltre di impostare le impostazioni di sicurezza del dispositivo mobile in modo da installare solo app provenienti da fonti affidabili, come i due negozi sopra citati.