Proofpoint, società di sicurezza aziendale, ha rilevato una ripresa per quanto riguarda la diffusione del malware per sistemi operativi Android, FlutBot, attraverso uno schema di consegna di pacchetti SMS (smishing).
A seguito di un breve calo di attività all’inizio di marzo 2021 (probabilmente dovuto agli arresti effettuati dalle autorità spagnole), FluBot ha ripreso di mira utenti Android provenienti da: Regno Unito, Germania, Ungheria, Italia, Polonia e Spagna. Inoltre, in base alle informazioni rilevate da Proofpoint e da quelle opensource, il malware potrebbe diffondersi anche tra gli utenti statunitensi.
Attraverso il reverse engineering (analisi effettuata al fine di ottenere delle informazioni) dei campioni delle versioni 3.7 e 4.0 di FluBot, che utilizzano come esche FedEx, DHL e Correos, i ricercatori di Proofpoint hanno potuto ottenere risultati in termini di maggiori dettagli sul malware.
Si specifica che, le versioni di FlutBot analizzate hanno un impatto minimo su Android SDK versione 7.0 e mirano ad Android SDK versione 9.0.
Secondo quanto emerso, FlutBot continua ad operare esclusivamente via SMS (nessuna diffusione rilevata via email). Il messaggio, inviato da un mittente che si spaccia per un servizio di consegna, contiene una dicitura in cui si può leggere, ad esempio, “FEDEX Il tuo pacco è in arrivo, traccialo qui“, e link a siti compromessi.
Una volta aperto il link allegato, viene richiesto di scaricare un’app pericolosa che, per risultare credibile, possiede il logo del servizio di consegna come icona e utilizza file APK (il formato di file delle app di Android) dall’aspetto legittimo, con FluBot crittografato e incorporato.
Proofpoint ha rilevato oltre 700 domini unici utilizzati nella campagna in lingua inglese, che sta colpendo quasi esclusivamente utenti del Regno Unito.
Questa campagna, secondo i dati raccolti, è iniziata con messaggi provenienti dalla Germania, poi sostituiti da comunicazioni di mittenti britannici. I messaggi in lingua tedesca sono stati eliminati quando quelli inglesi hanno preso piede, ad indicare l’intento consapevole di diffondere FluBot da un paese all’altro.
Lo scorso 27 aprile 2021, Proofpoint ha comunicato che sono circa 7 mila i dispositivi infetti che diffondono la campagna in lingua inglese nel Regno Unito, anche se il volume degli SMS pericolosi può essere di decine di migliaia all’ora (alcuni abbonati di telefonia mobile hanno ricevuto fino a 6 messaggi contenenti il link di FluBot).
Si specifica, infine, che sono stati rilevati SMS in lingua tedesca e inglese inviati ad utenti statunitensi dall’Europa, che potrebbero essere il risultato dell’invio del malware a tutti i contatti dei dispositivi infetti. Non sono ancora stati osservate, però, azioni significative per colpire i telefoni statunitensi così come è stato per il Regno Unito.
Per rimanere sempre aggiornati sui nuovi post di TelefoniaTech è possibile unirsi gratis ai canali ufficiali di Telegram e Whatsapp.
Se questo post vi è piaciuto, condividetelo sui vostri social e seguite TelefoniaTech anche su Google News, Facebook, X e Instagram.
Questo post può contenere link di affiliazione, attraverso i quali ogni acquisto o ordine effettuato permette a questo sito di guadagnare una commissione. In qualità di affiliati Amazon e di altri store terzi, otteniamo una commissione sugli acquisti idonei, senza alcun costo aggiuntivo per l'utente.
