Molto spesso i virus si insinuano in finti avvisi di sicurezza, o financo in falsi avvisi dei corrieri su merci da consegnare o ritirare: è il caso del bankware FluBot che, dopo la scorsa comparsata in quel di Giugno, è tornato a farsi vivo con una versione aggiornata, la 5.2, ancora più pericolosa della precedente (5.0).
Nello specifico, secondo quanto riferito dagli esperti in cybersecurity di MalwareHunterTeam, proprio in questi giorni la nuova variante del virus FluBot ha preso a circolare attraverso messaggini SMS, provenienti spesso da amici o contatti precedentemente infettati in campagne di SMS smishing, che chiedono al destinatario se avesse avuto intenzione di caricare – uplodare cioè – un video. Il messaggio di solito reca un collegamento cliccando sul quale, secondo un’analisi condotta via Virus Total, anziché installare l’apk di un Flash Player (per altro dismesso dalla stessa Adobe da diverso tempo), si finisce con l’installare proprio il malware di cui sopra, identificato con vari nomi (es. TrojanDropper:Android/Agent.806421b4, Trojan.AndroidOS.Agent.C!c, ANDROID/Dropper.FKLB.Gen) dai vari motori di analisi antivirale.
A quel punto, Flubot entra in azione e cerca di rubare le credenziali bancarie sovrapponendo vari overlay alle schermate di login delle app bancarie, ma anche leggendo gli SMS (per captare i codici usa e getta che spesso le banche inviano come controllo per autorizzare transazioni e trasferimenti). Non ultimo, FluBot è anche in grado di eseguire degli screenshot, sempre per rubare le credenziali finanziarie, immortalando quel che si digita.
Raccolti i dati, FluBot li comunica al server di comando e controllo remoto questa volta non su HTTPS tramite la porta diretta 443, ma su HTTPS tramite tunnelling DNS: inoltre per evitare il blacklisting, il virus usa un migliorato DGA che, al posto dei 3 domini di primo livello di un tempo, questa volta ne adopera 30, con l’hacker che può anche cambiare da remoto il seed di quello da far usare per comunicare i dati.
Per cautelarsi contro quest’ondata virale, occorre diffidare dei messaggi strani che possano giungere per mail, SMS o chat app, specie se contengono link: su questi ultimi non andrebbe mai cliccato ma, avendolo fatto, è bene non inserire alcun dato o scaricare alcun programma, scegliendo in questo frangente sempre i canali ufficiali per prelevare programmi e app. Non meno importante è il tenere installata una soluzione antivirale ed il controllare che sia sempre attivo il Play Protect di Android.