Massiva campagna Flubot veicolata in Italia tramite SMS DHL

A partire da lunedì 12 Aprile 2021, nell’ambito del servizio IoC Zone, D3Lab ha registrato in Italia una campagna massiva di tipo smishing rivolta ad utenti Android che, tramite l’invio di messaggi SMS malevoli è finalizzata a rilasciare il malware Flubot.

Il Malware (APK) Flubot sta circolando in quasi tutti i continenti: dall’Europa fino ai paesi asiatici ad esclusione dei paesi dell’ex-Urss, come riportato in una analisi del Cert-Agid che per primo ha diramato la notizia in Italia al fine di sensibilizzare le potenziali vittime.

In Spagna la campagna Flubot è stata individuata per la prima volta alla fine dello scorso anno e le evidenze riportano la compromissione di ben 60.000 dispositivi mobile. A seguito di questo evento le autorità spagnole hanno di recente identificato quattro presunti autori. Tuttavia, in base a quanto riportato da Therecord, il codice sorgente del malware è stato rilasciato nei forum underground e dunque accessibile anche a terzi.

L’SMS diffuso in Italia si presenta come una notifica di finta spedizione DHL, mentre in altri paesi sono stati osservati messaggi che sfruttano anche il logo FedEx.

Il messaggio invita l’utente a seguire un collegamento ipertestuale con il falso pretesto di una consegna in sospeso.

Nel momento in cui si effettua il download dell’applicazione e si procede con l’installazione Flubot, abilitando la possibilità di installare app non scaricate dallo store ufficiale di Google, inizia le proprie attività malevole, tra cui il furto di informazioni: carte di credito, controllo totale degli SMS, codici di autenticazione 2FA, monitoraggio delle altre applicazioni installate sul cellulare, apertura arbitraria di pagine web fraudolente ed in particolare tende ad inibire l’apertura di applicazioni che contengono il nome “Flubot” probabilmente al fine di evitare che la vittima possa essere informata sulle istruzione di rimozione.

I molteplici IoC rilevati da D3Lab dimostrano che la comapagna è in continua evoluzione, così come lo è il malware stesso. Infatti la versione attuale di Flubot è passata dalla 3.8 alla 4.0 nell’arco delle ultime tre settimane.

Si consiglia pertanto di mantenere alto lo stato di allerta, prestando massima attenzione ai link contenuti negli SMS ed avitare il download di applicazioni al di fuori dagli store ufficiali.

/da
Potrebbero interessarti
MalSpam Taglia di € 5.000 installa software di controllo remoto
Diffusione Malware da account eMail della Zecca dello Stato
Malware distribuito tramite falsa comunicazione Fineco Bank. Probabile #SpyEye
Falso avviso di spedizione del corriere GLS
🇬🇧 Malicious App spread through Italian Phishing and official App Store
Falso sito Filmora distribuisce malware
Falsa Fattura Vodafone distribuisce Cerber Ransomware
Campagna di Phishing ai danni di Fideuram