A partire da lunedì 12 Aprile 2021, nell’ambito del servizio IoC Zone, D3Lab ha registrato in Italia una campagna massiva di tipo smishing rivolta ad utenti Android che, tramite l’invio di messaggi SMS malevoli è finalizzata a rilasciare il malware Flubot.

Il Malware (APK) Flubot sta circolando in quasi tutti i continenti: dall’Europa fino ai paesi asiatici ad esclusione dei paesi dell’ex-Urss, come riportato in una analisi del Cert-Agid che per primo ha diramato la notizia in Italia al fine di sensibilizzare le potenziali vittime.

In Spagna la campagna Flubot è stata individuata per la prima volta alla fine dello scorso anno e le evidenze riportano la compromissione di ben 60.000 dispositivi mobile. A seguito di questo evento le autorità spagnole hanno di recente identificato quattro presunti autori. Tuttavia, in base a quanto riportato da Therecord, il codice sorgente del malware è stato rilasciato nei forum underground e dunque accessibile anche a terzi.

L’SMS diffuso in Italia si presenta come una notifica di finta spedizione DHL, mentre in altri paesi sono stati osservati messaggi che sfruttano anche il logo FedEx.

Il messaggio invita l’utente a seguire un collegamento ipertestuale con il falso pretesto di una consegna in sospeso.

Nel momento in cui si effettua il download dell’applicazione e si procede con l’installazione Flubot, abilitando la possibilità di installare app non scaricate dallo store ufficiale di Google, inizia le proprie attività malevole, tra cui il furto di informazioni: carte di credito, controllo totale degli SMS, codici di autenticazione 2FA, monitoraggio delle altre applicazioni installate sul cellulare, apertura arbitraria di pagine web fraudolente ed in particolare tende ad inibire l’apertura di applicazioni che contengono il nome “Flubot” probabilmente al fine di evitare che la vittima possa essere informata sulle istruzione di rimozione.

I molteplici IoC rilevati da D3Lab dimostrano che la comapagna è in continua evoluzione, così come lo è il malware stesso. Infatti la versione attuale di Flubot è passata dalla 3.8 alla 4.0 nell’arco delle ultime tre settimane.

Si consiglia pertanto di mantenere alto lo stato di allerta, prestando massima attenzione ai link contenuti negli SMS ed avitare il download di applicazioni al di fuori dagli store ufficiali.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Sentitevi liberi di contribuire!

Rispondi