FluBot, il malware che si diffonde con SMS di finte spedizioni

Si chiama FluBot il trojan bancario  che si sta diffondendo molto rapidamente in Italia con SMS di finte spedizioni.

Il malware è in grado di rubare informazioni sensibili come credenziali dei conti correnti delle vittime e le password di app come WhatsApp, Facebook, Gmail, Instagram e simili.

FluBot viene veicolato attraverso messaggi SMS che fanno riferimento a finte spedizioni del corriere DHL (in alcuni casi anche UPS o altri) e invitano l’utente a cliccare sul link indicato per tracciare il pacco e ottenere ulteriori indicazioni sull’ordine.

FluBot malware spedizioni

FluBot è infatti in grado di auto-diffondersi tramite l’invio di SMS malevoli alla lista di contatti della vittima, con l’obiettivo di infettare quanti più dispositivi possibile.

Questa particolare caratteristica accomuna FluBot alla maggior parte dei malware per Android che non sfruttano falle nel sistema operativo o nel dispositivo della vittima per acquisire privilegi elevati, ma riescono a prenderne il controllo abusando del “servizio di accessibilità” tipicamente utilizzato per assistere gli utenti in attività come la lettura dello schermo per i non vedenti o nell’interazione con il dispositivo

Il primo consiglio utile per prevenire l’infezione del malware FluBot consiste nel controllare sempre con la massima attenzione il nome del sito nel link (il nome del dominio) a cui punta il collegamento indicato nel messaggio SMS: se il sito non è quello di DHL, UPS o di altri corrieri citati, il messaggio ricevuto è malevolo. Ad esempio, il collegamento https://laloorna.com/pkge/?1sbk89jvbma3 punta al sito laloorna.com che evidentemente non è quello di DHL.

Per eliminare il malware dal proprio dispositivo, invece, è sufficiente scaricare il tool di rimozione pubblicato su GitHub.

In particolare, è necessario cliccare sui pulsanti presenti nella pagina Web che appare per scaricare delle applicazioni vuote (in realtà sono degli “aggiornamenti” dell’app usata dai cyber criminali per diffondere FluBot) che, una volta installate, sovrascrivono quella del malware.

Seguendo le istruzioni in inglese riportate su GitHub è possibile scaricare l’applicazione specifica per la versione del malware presente sul dispositivo compromesso, ma per sicurezza è meglio scaricarle e installarle tutte.

Una volta che l’installazione dell’app di rimozione ha rimosso i componenti del malware, è possibile rimuovere anche l’applicazione stessa.

Tutte le analisi e i comunicati tecnici relativi a FluBot sono comunque consultabili direttamente sul sito del CERT-AgID.

Ultimi articoli

spot_img

Related articles