GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/529/01.png

Dettaglio news
Malware Flubot sempre più pericoloso e diffuso anche in Italia: attenzione al furto dati!


giovedì 29 aprile 2021
di s-mart.biz



 

Flubot è una minaccia malware conosciuta da qualche tempo: nelle scorse settimane è iniziata la diffusione anche in Italia, evento che ha allertato il nostro CERT - Computer Emergency Response Team, il cui team di esperti si è messo sulle tracce del malware.

In breve - che cosa fa?
FluBot è un malware infostealer per dispositivi Android, ovvero uno di quei virus che si diffonde sui nostri smartphone e cerca di rubare i nostri dati. In dettaglio FluBot cerca credenziali di autenticazione a 2 fattori usate per l'home banking e i dati della carta di credito.

Ruba i dati con molte tecniche: ad esempio, per rubare i dati della carta di credito, visualizza sul dispositivo una finta pagina di verifica Google Play Protect richiedendo all'utente di inserire appunto i dati della carta di credito. Dati che, se inseriti, finiscono direttamente nelle mani degli attacccanti. Mostra comunque molteplici altre pagine di phishing, sostituendo le pagine collegate alle app legittime in uso sul telefono con form predisposti per il furto dati. Ruba anche gli SMS e i contatti presenti in rubrica.

Può inviare SMS, monitorare / disisntallare / bloccare specifiche applicazioni presenti sul dispositivo, aprire pagine web arbitrarie, usare il dispositivo come proxy.

In breve - come si diffonde?
Al contrario del solito, questo malware viene diffuso tramite smishing ovvero il phishing via sms. In Italia sta circolando con SMS in Italiano che emulano comunicazioni relative a spedizioni del corriere DHL.

  

Nulla comunque esclude che nei prossimi giorni il tema degli SMS possa variare.

L'SMS contiene un link che, se aperto da un dispositivo Android, rimanda ad una falsa pagina DHL (con tanto di logo) che invita al download di un file .APK. Il malware si installa avviando il file DHL.APK.

Perchè FluBot preoccupa così tanto?
Il CERT ha spiegato che, di questo malware, preoccupano principalmente frequenza ed efficienza delle campagne. Si sa già per certo che gli attacanti dispongono di un database composto già da milioni di contatti e quindi possono raggiungere una grande quantità di potenziali vittime con le loro campagne di smishing.

Inoltre gli URL dai quali è meso in download il malware sono molteplici e il malware si avvale di un algoritmo che genera automaticamente nuovi domini. Ad ora il malware si diffonde in Europa con l'ausilio di oltre 5000 domini, ognuno dei quali raggingibile attraverso IP differenti di macchine compromesse: bloccarli a livello IP è quindi molto difficoltoso.

Dato il rischio estremamente alto di furto di dati sensibili, personali e finanziari, e le difficoltà a bloccare il malware con strumenti di sicurezza, è estremamente consigliabile che gli utenti prestino molta attenzione agli SMS ricevuti, evitando il click su link contenuti in messaggi sospetti o provenienti da fonti sconosciute.

L'analisi completa del CERT-AGID è disponibile qui.




CONDIVIDI QUESTA PAGINA!