Iscriviti

Finto Flash Player tenta di infettare gli smartphone per rubare i dati bancari

Nonostante il Flash Player sia stato dismesso ormai da tempo, è proprio questo software, ovviamente finto, che gli hacker hanno pensato di usare per una campagna di SMS smishing con la quale diffondere il temibile virus FluBot.

Software e App
Pubblicato il 11 gennaio 2022, alle ore 09:18

Mi piace
1
0
Finto Flash Player tenta di infettare gli smartphone per rubare i dati bancari

Molto spesso i virus si insinuano in finti avvisi di sicurezza, o financo in falsi avvisi dei corrieri su merci da consegnare o ritirare: è il caso del bankware FluBot che, dopo la scorsa comparsata in quel di Giugno, è tornato a farsi vivo con una versione aggiornata, la 5.2, ancora più pericolosa della precedente (5.0).

Nello specifico, secondo quanto riferito dagli esperti in cybersecurity di MalwareHunterTeam, proprio in questi giorni la nuova variante del virus FluBot ha preso a circolare attraverso messaggini SMS, provenienti spesso da amici o contatti precedentemente infettati in campagne di SMS smishing, che chiedono al destinatario se avesse avuto intenzione di caricare – uplodare cioè – un video. Il messaggio di solito reca un collegamento cliccando sul quale, secondo un’analisi condotta via Virus Total, anziché installare l’apk di un Flash Player (per altro dismesso dalla stessa Adobe da diverso tempo), si finisce con l’installare proprio il malware di cui sopra, identificato con vari nomi (es. TrojanDropper:Android/Agent.806421b4, Trojan.AndroidOS.Agent.C!c, ANDROID/Dropper.FKLB.Gen) dai vari motori di analisi antivirale.

A quel punto, Flubot entra in azione e cerca di rubare le credenziali bancarie sovrapponendo vari overlay alle schermate di login delle app bancarie, ma anche leggendo gli SMS (per captare i codici usa e getta che spesso le banche inviano come controllo per autorizzare transazioni e trasferimenti). Non ultimo, FluBot è anche in grado di eseguire degli screenshot, sempre per rubare le credenziali finanziarie, immortalando quel che si digita. 

Raccolti i dati, FluBot li comunica al server di comando e controllo remoto questa volta non su HTTPS tramite la porta diretta 443, ma su HTTPS tramite tunnelling DNS: inoltre per evitare il blacklisting, il virus usa un migliorato DGA che, al posto dei 3 domini di primo livello di un tempo, questa volta ne adopera 30, con l’hacker che può anche cambiare da remoto il seed di quello da far usare per comunicare i dati. 

Per cautelarsi contro quest’ondata virale, occorre diffidare dei messaggi strani che possano giungere per mail, SMS o chat app, specie se contengono link: su questi ultimi non andrebbe mai cliccato ma, avendolo fatto, è bene non inserire alcun dato o scaricare alcun programma, scegliendo in questo frangente sempre i canali ufficiali per prelevare programmi e app. Non meno importante è il tenere installata una soluzione antivirale ed il controllare che sia sempre attivo il Play Protect di Android. 

Video interessanti:
Cosa ne pensa l’autore
Fabrizio Ferrara

Fabrizio Ferrara - Di solito non mi capita mai di ricevere cose simili da contatti "fidati" ma, nelle scorse ore, qualcosa di strano è arrivato anche a me, con un link: magari non era la stessa infezione, ma il consiglio di non cliccare e non inserire dati su link strani vale comunque, anche perché, come spesso dico e penso, siamo noi l'ultima difesa contro i pirati digitali.

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!