Nuovo allarme del CERT-AgID per un pericoloso virus che viene trasmesso tramite un SMS che parla di pacco in arrivo per noi.
Negli ultimi giorni sta circolando un SMS molto pericoloso. Talmente pericoloso da meritarsi un allarme specifico da parte del CERT-AgID, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale della Presidenza del Consiglio dei Ministri. Il messaggio di testo, infatti, è infetto e contiene il virus per smartphone Android chiamato FluBot.
Si tratta di un malware già individuato più volte in passato in Spagna, Germania e Ungheria e che, adesso, ha anche una versione specifica per l’Italia che, oltre ad avere il testo del messaggio in lingua italiana, include al suo interno diversi stratagemmi per aggirare ogni tentativo di rimozione da parte dell’utente. Il fatto che questo malware non si attivi sugli smartphone che hanno impostato uzbeco, inglese (Regno Unito), turco, tagico, russo, rumeno, lingua kirghisa, kazaco, georgiano, armeno, bielorusso o azerbaigiano come linguaggio principale, invece, lascia supporre che si tratti di un virus made in Russia: l’esclusione dei paesi dell’ex URSS è tipica dei malware sviluppati in quel Paese.
Come riconoscere l’SMS col virus FluBot
L’SMS identificato dal CERT-AgID è uno dei tanti a tema spedizioni (qui ne abbiamo visti altri): nel testo si parla di un pacco a noi destinato, con un link per seguire il tracking ma che in realtà fa partire l’infezione. Tra le tante varianti di questo messaggio, quelle che recitano “Abbiamo il tuo pacco in attesa“, “Il tuo pacco sta arrivando“, “pacchetto in attesa per [numero di telefono] si prega di controllare i dettagli e confermare“, oppure “domani consegneremo il tuo pacco“.
Cambia il testo ma la sostanza è sempre la stessa: il messaggio termina con un link sul quale l’utente è inviato a cliccare. Se lo fa, però, FluBot entra in azione con tutto il suo potenziale: viene visualizzata una finta pagina del corriere DHL dalla quale viene avviato automaticamente il download e l’installazione di una finta app DHL.
Durante l’installazione l’app chiede i “permessi di accessibilità" all’utente. Si tratta di privilegi molto elevati, che sono previsti solo per le app di aiuto alla lettura o all’ascolto per i disabili. Se l’utente li concede alla finta app DHL, quindi, il virus può fare ciò che vuole sul dispositivo Android infettato.
Perché FluBot è pericoloso
Dall’analisi del CERT-AgID risulta che FluBot è un malware di tipo “infostealer“, cioè di quelli che rubano le nostre informazioni sensibili. La tecnica è abbastanza classica: ogni volta che l’utente visita un sito che prevede registrazione e login (al quale è però già registrato) il virus sovrappone una finta schermata di login e gli chiede di immettere nuovamente i dati.
Se l’utente lo fa, allora i dati vengono spediti al server di controllo del virus. I siti più appetibili, per chi controlla FluBot e tutti gli altri infostealer, sono quelli dell’home banking: se il dispositivo è infetto, quindi, l’utente rischia di regalare l’accesso al suo conto in banca agli hacker.
To remove FluBot there is a special tool, developed by security researcher Linuxct, but the version of FluBot that is circulating in Italy is more advanced than the others: not only it can block this tool, but it even contains a string of code that mocks the researcher.
Linuxct has developed an update for this tool, but it seems that "guards and thieves" are destined to chase each other for a long time to come.