Flubot è un malware che manca da qualche tempo in Italia, ma che a metà di quest'anno ha bersagliato centinaia di migliaia di utenti italiani. Per un periodo è stato così martellante da aver indotto il CERT-AGiD a pubblicare una apposita e dettagliata guida (consultabile qui): per almeno un paio di mesi è stato diffuso tutte le settimane con apposite campagne contro utenti italiani, poi è scomparso dai radar. Ora è tornato, con nuovi metodi di diffusione.
Flubot in breve: qualche info tecnica
Questo malware è già diffuso da tempo all'estero, soprattutto in Spagna, Germania e Ungheria ma le ulteriori analisi dei ricercatori di sicurezza hanno mostrato come il malware sia stato attrezzato per supportare numerose altre lingue, italiano compreso. La versione 3.9, quella diffusa in Italia qualche mese fa, non sfruttava alcuna falla del sistema Android, non eseguiva exploit: l'unico "exploit" è eseguito sulla vittima, che viene tratta in inganno per abilitare l'app dannosa come "servizio di accessibilità". Il malware richiede semplicemente che l'utente abiliti l'app come servizio di accessibilità del dispositivo: un servizio di accessibilità è semplicemente un supporto per aiutare l'interazione degli utenti col dispositivo, rivolto solitamente a persone con problematiche fisiche o di salute che hanno difficoltà ad interagire (scrivere, leggere, sentire) con un dispositivo. Abilitare un'app come servizio di accessibilità consente all'app stessa di eseguire azioni al posto dell'utente.
Tutto questo al solo scopo di rubare dal dispositivo e dall'utente quante più informazioni possibile: Flubot è infatti un infostealer, che presta particolare attenzione alle credenziali di accesso all'home banking, agli estremi delle carte di credito, all'intercettazione delle OTP ecc...
Ottenute le autorizzazioni come servizio di accessibilità, Flubot diffonderà ulteriori SMS dannosi e resterà attivo in background.
L'alert del CERT neozelandese: nuova tecnica di diffusione
Qualche giorno fa il CERT neozelandese è tornato sull'argomento, dopo aver individuato una versione del malware diffusa tramite una tecnica nuova e più efficace: gli attaccanti tentano di indurre le vittime a scaricare il malware mostrando loro alert di sicurezza proprio su una fantomatica infezione da Flubot."Il tuo dispositivo è stato infettato col malware Flubot. Android ha individuato come infetto il tuo dispositivo" dice una delle pagine prodotte per diffondere il malware. La pagina prosegue con una serie di indicazioni necessarie affinché l'utente stesso riesca comunque ad installare l'app nel caso in cui questa venga segnalata dal sistema o da altre applicazioni come sconosciuta / dannosa.
If you are seeing this page, it does not mean you are infected with Flubot however if you follow the false instructions from this page, it WILL infect your device. https://t.co/KrcPhCQB90— CERT NZ (@CERTNZ) September 30, 2021
"Nel caso incappiate in qualcuna di queste pagine, sappiate che sono false. Il vostro dispositivo non sarà infettato da Flubot a meno che non seguiate le indicazioni contenute negli alert e nella landing page" scrive il CERT neozelandese.
La landing page fake viene diffusa tramite SMS contenente un link: gli SMS riguardano fantomatiche consegne di pacchi o foto rubate che sono state caricate online. Ad ogni dispositivo infetto, l'SMS viene reininviato, una volta che il malware ha ottenuto le autorizzazioni come servizio di accessibilità, a tutti i contatti della rubrica della vittima.
Nessun commento:
Posta un commento