AGID segnala un pericoloso SMS-truffa che ruba dal telefonino dati di accesso a conti bancari

Roma – Sta crescendo in modo considerevole il numero di SMS che veicolano il malware Flu bot in Italia e con esso anche il numero delle vittime. Nelle ultime due settimane si è assistito ad un’incessante attività ed a un continuo aggiornamento del malware denominato Flu Bot, entrambi sintomi di una fase ascendente.

Le evidenze arrivano dal monitoraggio costante del CERT-AGID, l’Agenzia governativa per l’Italia digitale, e dalle segnalazioni spontanee pervenute alla casella di posta malware@cert-agid.gov.it

Non si tratta del classico smishing (phishing via sms) attraverso il quale una volta cliccato sul link viene richiesto di immettere le credenziali o gli estremi del conto corrente, ma di una vera e propria campagna malevola per veicolare un malware di tipo infostealer (per dispositivi Android) focalizzato anche sul furto dei dati di carta di credito e credenziali 2FA utilizzate per l’home banking.

Flu bot può auto-diffondersi (tramite un link) via sms tramite la lista dei contatti, tentando di infettare quanti più dispositivi possibile. Si tratta di un attacco mirato verso paesi europei tra cui Italia, Spagna, Germania, Ungheria, Polonia e di recente anche verso il Regno Unito, e al momento con la sola esclusione dei paesi della ex-URSS.

Il tema utilizzato per le campagne Flu bot italiane è sempre stato quello delle spedizioni e il brand di cui Flu Bot sta abusando è quello del corriere “DHL”.

Al momento, non vi sono evidenze che indichino una diversa modalità di presentazione del malware ma non si può escludere che le stesse rimangano invariate nel tempo, motivo per cui l’attenzione verso ogni tipo di tema deve rimanere sempre molto alta.

La vittima riceve un link malevolo tramite SMS. Il contenuto menziona una falsa spedizione in arrivo. Cliccando sul collegamento, una finta pagina propone di scaricare l’applicazione DHL.apk. Naturalmente non si tratta dell’app ufficiale, ma una creata ad hoc per la truffa.
Se lo user agent del dispositivo non è Android la pagina effettua un redirect verso la home page di Google.

Una volta ottenuti i permessi, il malware Android Flu Bot 3.9 è in grado di agire come “servizio di accessibilità”. In questo modo si impossessa dei dati sensibili salvati sullo smartphone.

In particolare, i cyber criminali sono interessati alle credenziali di accesso a servizi e conti bancari. I dati vengono successivamente copiati e inviati a server esterni.

Saperne di più: https://cert-agid.gov.it/tag/flubot/

Segnalazioni: malware@cert-agid.gov.it

 

Print Friendly, PDF & Email
Condividi