giovedì 15 aprile 2021

Le campagne via SMS sono ancora un pericolo: il CERT denuncia la diffusione in Italia del malware Flubot

Il CERT ha pubblicato uno specifico approfondimento (consultabile qui) su una campagna via SMS che sta diffondendo il malware Flu Bot 3.9. Questo malware è già diffuso da tempo all'estero, soprattutto in Spagna, Germania e Ungheria ma le ulteriori analisi dei ricercatori di sicurezza hanno mostrato come il malware sia stato attrezzato per supportare numerose altre lingue, italiano compreso. 

Il malware sembra essere di origine russa, considerando il fatto che non si attiva sui dispositivi Android impostati su lingue come uzbeco, inglese (Regno Unito), turco, tagico, russo, rumeno, lingua kirghisa, kazaco, georgiano ecc... Inoltre è stata ritrovata nel codice una stringa in lingua russa contenente un vero e proprio sfottò contro i ricercatori di linuxct, che hanno aiutato il CERT nell'analisi di questa campagna. 

Nel corso dell'analisi del codice, che il CERT ha ottenuto dopo deoffuscamento, è stato riscontrato il prefisso italiano, fatto che fa sospettare che la versione in analisi sia stata sviluppata appositamente per colpire in Italia.

Fonte: https://cert-agid.gov.it/

La campagna SMS italiana ha tema "Spedizioni": il tentativo è quello di spingere l'utente a cliccare sul link riportato nell'SMS con la scusa di tracciare una spedizione. Il clic sul link conduce ad una landing page che emula il sito ufficiale di DHL: da questa pagina viene proposto il download e l'installazione di un'app, DHL.apk.

Fonte: https://cert-agid.gov.it/

Flu Bot in breve
La versione analizzata dal CERT è la  Flu Bot 3.9, che pare sia stata rilasciata proprio in questi giorni, dato che le evidenze hanno mostrato fino ad oggi solo la circolazione della v.3.8. 

In breve questo malware non sfrutta alcuna falla del sistema operativo o del dispositivo della vittima, non richiede neppure particolari privilegi sul sistema operativo: sfrutta invece la tecnica del "servizio di accessibilità". Il malware richiede semplicemente che l'utente abiliti l'app come servizio di accessibilità del dispositivo: un servizio di accessibilità è semplicemente un supporto per aiutare l'interazione degli utenti col dispositivo, rivolto solitamente a persone con problematiche fisiche o di salute che hanno difficoltà ad interagire (scrivere, leggere, sentire) con un dispositivo. Abilitare un'app come servizio di accessibilità consente all'app stessa di eseguire azioni al posto dell'utente. 

Fonte: https://cert-agid.gov.it/

Flu Bot è principalmente un infostealer, cioè è finalizzato al furto di dati. In prima battuta, una volta installato, mostra una finta pagina di verifica Google Play Protect: tramite questa pagina fake viene richiesto all'utente di inserire i dati della carta di credito. Oltre a ciò, il malware mostra molte altre pagine di phishing ogni volta che l'utente apre specifiche app come Gmail, Whatsapp ecc... Qualsiasi dato viene inserito in queste pagine finisce direttamente sui server degli attaccanti. 

Flu Bot riserva invece un trattamento speciale ai servizi di home banking: ogni volta che la vittima apre un'app di home banking il malware mostra una pagina fake richiedendo l'inserimento delle credenziali dell'account. Se l'utente inserisce questi dati, gli attaccanti accedono al conto corrente della vittima e iniziano a trasferire soldi verso fondi esteri: questo schema funziona anche perchè Flu Bot intercetta le OTP che solitamente sono inviate dai servizi di home banking come forma di autenticazione a due fattori. 

Il malware può anche inviare SMS con contenuto arbitrario, disinstallare applicazioni, eseguire codici USSD che possono abilitare deviazioni di chiamata (spesso per aggirare l'autenticazione a 2 fattori di alcuni servizi), aprire pagine web e usare il dispositivo come proxy per lanciare ulteriori attacchi e/o registrarlo come nodo della botnet. 

Come rimuovere il Flu Bot
La nuova versione arriva anche, ahinoi, con un meccanismo di auto protezione ulteriore: il malware infatti è progettato per impedire l'installazione dello strumento di rimozione che i ricercatori di linuxct hanno appositamente approntato per rimuovere il malware dai dispositivi

Fonte: https://cert-agid.gov.it/

Il CERT consiglia la disintallazione tramite  Android Debug Bridge (ADB): non avendo particolari privilegi infatti, il malware è disinstallabile con una semplice riga di comando con adb. 

Nessun commento:

Posta un commento