L'ANALISI TECNICA

FluBot, il malware Android si diffonde con SMS di finte spedizioni DHL: come proteggersi

È in corso in Italia una campagna malware per la diffusione del trojan bancario FluBot, in grado di rubare credenziali di accesso ai conti corrente, codici di autenticazione a due fattori e password di app come WhatsApp, Facebook e Gmail. Ecco tutti i dettagli e i consigli per prevenire l’infezione

03 Mag 2021
Paolo Tarsitano

Editor Cybersecurity360.it

Si chiama FluBot il trojan bancario per Android che si sta diffondendo molto rapidamente in Italia: il malware è in grado di rubare informazioni sensibili come credenziali dei conti correnti delle vittime e le password di app come WhatsApp, Facebook, Gmail, Instagram e simili.

FluBot viene veicolato attraverso messaggi SMS che fanno riferimento a finte spedizioni del corriere DHL (in alcuni casi anche UPS o altri) e invitano l’utente a cliccare sul link indicato per tracciare il pacco e ottenere ulteriori indicazioni sull’ordine.

Al momento sono due le varianti di FluBot isolate dagli analisti del CERT-AgID e identificate con il numero di versione 3.9 e 4.0: l’esca è sempre la finta spedizione DHL, ma mentre nella prima versione l’SMS di phishing invita la vittima a tracciare l’ordine, nella versione più recente il messaggio fa riferimento ad una mancata consegna del pacco chiedendo di pianificare una nuova spedizione cliccando sul link proposto.

FluBot si sta diffondendo anche in altri paesi europei tra cui Spagna, Germania, Ungheria, Polonia e di recente anche il Regno Unito: al momento, gli attacchi mirati sembrano escludere soltanto i paesi della ex-URSS in quanto il malware non si attiva sui dispositivi che usano una delle lingue tra uzbeco, turco, tagico, russo, rumeno, lingua kirghisa, kazaco, georgiano, armeno, bielorusso o azerbaigiano.

FluBot: i dettagli tecnici del trojan bancario per Android

Secondo gli analisti del CERT-AgID non siamo difronte al classico smishing (phishing via SMS) sfruttato dai cyber criminali per indurre le vittime a fornire le credenziali di accesso o gli estremi del conto corrente: l’attuale attività malevola è invece una vera e propria campagna di distribuzione dell’infostealer FluBot (per dispositivi Android) focalizzato anche sul furto dei dati di carta di credito e credenziali 2FA (doppia autenticazione) utilizzate per l’accesso ai servizi di home banking.

WHITEPAPER
Le 5 best practice da seguire per migliorare la customer experience

FluBot è infatti in grado di auto-diffondersi tramite l’invio di SMS malevoli alla lista di contatti della vittima, con l’obiettivo di infettare quanti più dispositivi possibile.

Questa particolare caratteristica accomuna FluBot alla maggior parte dei malware per Android che non sfruttano falle nel sistema operativo o nel dispositivo della vittima per acquisire privilegi elevati, ma riescono a prenderne il controllo abusando del “servizio di accessibilità” tipicamente utilizzato per assistere gli utenti in attività come la lettura dello schermo per i non vedenti o nell’interazione con il dispositivo (ad esempio, mediante il clic assistito per gli utenti diversamente abili).

Come si diffonde e agisce il malware FluBot

Non potendo accedere ai file di dati e alle applicazioni installate sui dispositivi Android per la mancanza degli opportuni permessi, FluBot necessita dell’interazione dell’utente per completare la sua opera malevola e per questo utilizza la tecnica del finto SMS che induce a cliccare sul link contenuto nel testo.

In particolare, quando la vittima clicca dal suo dispositivo Android sul link presente nel messaggio SMS, viene visualizzata una pagina Web con i loghi di DHL e viene proposto il download di un file DHL.apk.

Inoltre, è necessario che l’utente abiliti l’applicazione appena scaricata come servizio di accessibilità del suo dispositivo.

Se lo user agent del browser indica che non si tratta di un dispositivo Android, allora la vittima viene automaticamente reindirizzata alla home page di Google.

Nel momento in cui viene aperto il file APK, inizia la catena infettiva vera e propria del malware FluBot.

Le azioni malevoli di FluBot sui dispositivi compromessi

Le sue principali azioni sono quelle di presentare una finta pagina di verifica di Google Play Protect (per simulare un controllo antivirus sull’applicazione appena scaricata) che richiede l’inserimento dei dati della carte di credito e di mostrare finte pagine di phishing all’apertura di app specifiche (come Gmail, WhatsApp e Instagram) sostituendo le pagine richieste dalle app con form appositamente predisposte per il furto dei dati.

I dati inseriti dalla vittima, siano essi numeri di carte di credito o credenziali di accesso alle app, vengono quindi inviati al server di controllo del malware FluBot.

FluBot è, inoltre, in grado di eseguire tutta una serie di comandi a supporto della sua attività di infostealing (furto di dati):

  • inviare SMS con contenuto arbitrario, probabilmente per la sua diffusione (è plausibile quindi che i mittenti degli SMS per la diffusione di FluBot siano a loro volta infetti);
  • recuperare i codici 2FA (quelli ricevuti quando si accede a servizi come la propria banca) rubando gli SMS e le notifiche ricevute sul dispositivo;
  • monitorare ed eventualmente disinstallare specifiche applicazioni presenti sul dispositivo, ad esempio gli strumenti di rimozione del malware;
  • eseguire codici operatore (USSD) che consentono di abilitare deviazioni di chiamata (sempre per aggirare l’autenticazione 2FA di alcuni servizi);
  • aprire pagine Web arbitrarie;
  • utilizzare il dispositivo come proxy (per lanciare attacchi, coprire le tracce o in generale registrare il dispositivo nella botnet).

Come difendersi e mitigare il rischio contagio

Alla luce di quanto visto finora, il primo consiglio utile per prevenire l’infezione del malware FluBot consiste nel controllare sempre con la massima attenzione il nome del sito nel link (il nome del dominio) a cui punta il collegamento indicato nel messaggio SMS: se il sito non è quello di DHL, UPS o di altri corrieri citati, il messaggio ricevuto è malevolo. Ad esempio, il collegamento https://laloorna.com/pkge/?1sbk89jvbma3 punta al sito laloorna.com che evidentemente non è quello di DHL.

C’è da dire, comunque, che la semplice ricezione dell’SMS o l’apertura del link indicato nel messaggio, senza il successivo download e conseguente installazione dell’applicazione malevola, non comporta la compromissione del dispositivo Android.

Sul sito del CERT-AgID sono comunque riportate le istruzioni da seguire nel caso in cui venissimo infettati da FluBot.

Come rimuovere il malware dallo smartphone

Per eliminare il malware dal proprio dispositivo, invece, è sufficiente scaricare il tool di rimozione pubblicato su GitHub.

In particolare, è necessario cliccare sui pulsanti presenti nella pagina Web che appare per scaricare delle applicazioni vuote (in realtà sono degli “aggiornamenti” dell’app usata dai cyber criminali per diffondere FluBot) che, una volta installate, sovrascrivono quella del malware.

Seguendo le istruzioni in inglese riportate su GitHub è possibile scaricare l’applicazione specifica per la versione del malware presente sul dispositivo compromesso, ma per sicurezza è meglio scaricarle e installarle tutte.

Una volta che l’installazione dell’app di rimozione ha rimosso i componenti del malware, è possibile rimuovere anche l’applicazione stessa.

Tutte le analisi e i comunicati tecnici relativi a FluBot sono comunque consultabili direttamente sul sito del CERT-AgID.

WHITEPAPER
Customer Data Platform: cos'è e perché apre una nuova era per i marketer
Big Data
CRM
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr