Si chiama FluBot il trojan bancario per Android che si sta diffondendo molto rapidamente in Italia: il malware è in grado di rubare informazioni sensibili come credenziali dei conti correnti delle vittime e le password di app come WhatsApp, Facebook, Gmail, Instagram e simili.
FluBot viene veicolato attraverso messaggi SMS che fanno riferimento a finte spedizioni del corriere DHL (in alcuni casi anche UPS o altri) e invitano l’utente a cliccare sul link indicato per tracciare il pacco e ottenere ulteriori indicazioni sull’ordine.
Al momento sono due le varianti di FluBot isolate dagli analisti del CERT-AgID e identificate con il numero di versione 3.9 e 4.0: l’esca è sempre la finta spedizione DHL, ma mentre nella prima versione l’SMS di phishing invita la vittima a tracciare l’ordine, nella versione più recente il messaggio fa riferimento ad una mancata consegna del pacco chiedendo di pianificare una nuova spedizione cliccando sul link proposto.
FluBot si sta diffondendo anche in altri paesi europei tra cui Spagna, Germania, Ungheria, Polonia e di recente anche il Regno Unito: al momento, gli attacchi mirati sembrano escludere soltanto i paesi della ex-URSS in quanto il malware non si attiva sui dispositivi che usano una delle lingue tra uzbeco, turco, tagico, russo, rumeno, lingua kirghisa, kazaco, georgiano, armeno, bielorusso o azerbaigiano.
Indice degli argomenti
FluBot: i dettagli tecnici del trojan bancario per Android
Secondo gli analisti del CERT-AgID non siamo difronte al classico smishing (phishing via SMS) sfruttato dai cyber criminali per indurre le vittime a fornire le credenziali di accesso o gli estremi del conto corrente: l’attuale attività malevola è invece una vera e propria campagna di distribuzione dell’infostealer FluBot (per dispositivi Android) focalizzato anche sul furto dei dati di carta di credito e credenziali 2FA (doppia autenticazione) utilizzate per l’accesso ai servizi di home banking.
FluBot è infatti in grado di auto-diffondersi tramite l’invio di SMS malevoli alla lista di contatti della vittima, con l’obiettivo di infettare quanti più dispositivi possibile.
Questa particolare caratteristica accomuna FluBot alla maggior parte dei malware per Android che non sfruttano falle nel sistema operativo o nel dispositivo della vittima per acquisire privilegi elevati, ma riescono a prenderne il controllo abusando del “servizio di accessibilità” tipicamente utilizzato per assistere gli utenti in attività come la lettura dello schermo per i non vedenti o nell’interazione con il dispositivo (ad esempio, mediante il clic assistito per gli utenti diversamente abili).
Come si diffonde e agisce il malware FluBot
Non potendo accedere ai file di dati e alle applicazioni installate sui dispositivi Android per la mancanza degli opportuni permessi, FluBot necessita dell’interazione dell’utente per completare la sua opera malevola e per questo utilizza la tecnica del finto SMS che induce a cliccare sul link contenuto nel testo.
In particolare, quando la vittima clicca dal suo dispositivo Android sul link presente nel messaggio SMS, viene visualizzata una pagina Web con i loghi di DHL e viene proposto il download di un file DHL.apk.
Inoltre, è necessario che l’utente abiliti l’applicazione appena scaricata come servizio di accessibilità del suo dispositivo.
Se lo user agent del browser indica che non si tratta di un dispositivo Android, allora la vittima viene automaticamente reindirizzata alla home page di Google.
Nel momento in cui viene aperto il file APK, inizia la catena infettiva vera e propria del malware FluBot.
Le azioni malevoli di FluBot sui dispositivi compromessi
Le sue principali azioni sono quelle di presentare una finta pagina di verifica di Google Play Protect (per simulare un controllo antivirus sull’applicazione appena scaricata) che richiede l’inserimento dei dati della carte di credito e di mostrare finte pagine di phishing all’apertura di app specifiche (come Gmail, WhatsApp e Instagram) sostituendo le pagine richieste dalle app con form appositamente predisposte per il furto dei dati.
I dati inseriti dalla vittima, siano essi numeri di carte di credito o credenziali di accesso alle app, vengono quindi inviati al server di controllo del malware FluBot.
FluBot è, inoltre, in grado di eseguire tutta una serie di comandi a supporto della sua attività di infostealing (furto di dati):
- inviare SMS con contenuto arbitrario, probabilmente per la sua diffusione (è plausibile quindi che i mittenti degli SMS per la diffusione di FluBot siano a loro volta infetti);
- recuperare i codici 2FA (quelli ricevuti quando si accede a servizi come la propria banca) rubando gli SMS e le notifiche ricevute sul dispositivo;
- monitorare ed eventualmente disinstallare specifiche applicazioni presenti sul dispositivo, ad esempio gli strumenti di rimozione del malware;
- eseguire codici operatore (USSD) che consentono di abilitare deviazioni di chiamata (sempre per aggirare l’autenticazione 2FA di alcuni servizi);
- aprire pagine Web arbitrarie;
- utilizzare il dispositivo come proxy (per lanciare attacchi, coprire le tracce o in generale registrare il dispositivo nella botnet).
Come difendersi e mitigare il rischio contagio
Alla luce di quanto visto finora, il primo consiglio utile per prevenire l’infezione del malware FluBot consiste nel controllare sempre con la massima attenzione il nome del sito nel link (il nome del dominio) a cui punta il collegamento indicato nel messaggio SMS: se il sito non è quello di DHL, UPS o di altri corrieri citati, il messaggio ricevuto è malevolo. Ad esempio, il collegamento https://laloorna.com/pkge/?1sbk89jvbma3 punta al sito laloorna.com che evidentemente non è quello di DHL.
C’è da dire, comunque, che la semplice ricezione dell’SMS o l’apertura del link indicato nel messaggio, senza il successivo download e conseguente installazione dell’applicazione malevola, non comporta la compromissione del dispositivo Android.
Sul sito del CERT-AgID sono comunque riportate le istruzioni da seguire nel caso in cui venissimo infettati da FluBot.
Come rimuovere il malware dallo smartphone
Per eliminare il malware dal proprio dispositivo, invece, è sufficiente scaricare il tool di rimozione pubblicato su GitHub.
In particolare, è necessario cliccare sui pulsanti presenti nella pagina Web che appare per scaricare delle applicazioni vuote (in realtà sono degli “aggiornamenti” dell’app usata dai cyber criminali per diffondere FluBot) che, una volta installate, sovrascrivono quella del malware.
Seguendo le istruzioni in inglese riportate su GitHub è possibile scaricare l’applicazione specifica per la versione del malware presente sul dispositivo compromesso, ma per sicurezza è meglio scaricarle e installarle tutte.
Una volta che l’installazione dell’app di rimozione ha rimosso i componenti del malware, è possibile rimuovere anche l’applicazione stessa.
Tutte le analisi e i comunicati tecnici relativi a FluBot sono comunque consultabili direttamente sul sito del CERT-AgID.