IMPORTANTE

IoC 08/10/2021

CERT-AgID semplifica l’accesso ai propri Indicatori di Compromissione (IoC)

Fino ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal CERT-AGID era necessario disporre di tre requisiti: Essere una Pubblica Amministrazione; Accreditarsi presso il CERT-AGID; Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso CERT-AgID. Mentre i primi due requisiti resteranno invariati in quanto […]

SMS maligni che contengono Flu Bot: cosa c’è da sapere e come rimediare al contagio

30/04/2021

android apk flubot infostealer

Indice

Cosa è Flu Bot e perchè dovrebbe riguardarmi?

Flu Bot è un’app malevola (in gergo: malware) per i cellulari Android che ruba le credenziali dei conti correnti delle vittime, si propaga utilizzando i contatti in rubrica e può rubare le password di app come WhatsApp, Facebook, GMail, Instragram e simili.

L’Italia è attualmente sotto l’attacco di questo malware: dalle nostre attività di monitoraggio abbiamo osservato che i cybercriminali stanno tutt’ora operando assiduamente e meticolosamente per rendere Flu Bot ancora più pericoloso.

Da numerose fonti abbiamo sempre più evidenze di cittadini rimasti vittime di Flu Bot, con conseguenze quali il furto di denaro e nascita di contenziosi riguardo la ricezione abusiva di SMS da parte di numeri non noti.

Data la velocità con cui si sta diffondendo e l’utilizzo massivo della rubrica delle vittime, le probabilità di imbattersi in questo malware crescono di giorno in giorno.

Come mi arriva?

L’unica modalità di diffusione fin ora osservata di Flu Bot è tramite SMS.

Gli SMS ricevuti si presentano come messaggi di corrieri, come i seguenti:

Come lo riconosco?

Gli SMS che diffondono Flu Bot contengono nel testo un collegamento ipertestuale (in gergo un link, la parte evidenziata in blu o con un colore diverso).

Osservate attentamente il nome del sito nel link (il nome del dominio) a cui punta il collegamento: se il sito non è quello di DHL, UPS o di altri corrieri citati, il messaggio ricevuto è malevolo, utile per diffondere Flu Bot (puoi eventualmente segnalarcelo a questo indirizzo email: malware@cert-agid.gov.it).

Facciamo un esempio:

il collegamento https://laloorna.com/pkge/?1sbk89jvbma3 punta al sito laloorna.com che non è quello di DHL.

Come faccio a capire se il sito è davvero di DHL, UPS o altri corrieri?

Visita il sito e navigandolo controlla che effettivamente presenti:

  • Marchi e loghi del corriere.
  • I servizi del corriere. Ad esempio, prova ad aprire qualche pagina e controlla che abbia un contenuto coerente.

Un sito clonato presenta solo la pagina di facciata del sito reale quindi, aprendo altre pagine, è facile scoprire che non portano da nessuna parte o non sono proprio visitabili.

In ogni caso nessun corriere vi chiederà mai di scaricare un file e di installarlo.

E’ sicuro visitare il sito?

Non esiste la sicurezza al 100% ma il punto è il seguente: infettare il tuo cellulare facendoti semplicemente visitare un sito necessita l’uso di tecniche evolute e al contempo costose (per le varie agenzie) che hanno un valore di mercato di svariati centinaia di migliaia di dollari. Ma una volta usata, questa tecnica perde la sua segretezza e viene bruciata, perdendo di conseguenza anche il suo valore di mercato.

Flu Bot non utilizza tecniche di attacco così raffinate (non vi sarebbe ritorno di investimento), per cui visitare il sito contenuto nel collegamento (ricorda: devi copiare solo il nome del sito su un browser, non cliccarci su!) è una misura semplice, relativamente priva di rischi e che permette di evitare facilmente la minaccia del malware.

Ho già ricevuto un SMS di Flu Bot, non ho aperto il link, sono infetto?

No.
Cancella il messaggio e non pensarci più.

Ho ricevuto un SMS di Flu Bot, ho aperto il link e poi l’ho subito chiuso, sono infetto?

No.
Anche in questo caso, cancella il messaggio e non pensarci più.

Cosa succede se clicco sul link?

I collegamenti presenti negli SMS di Flu Bot portano a pagine fake di DHL o UPS come queste:

Se clicchi sul pulsante “Scaricare l’applicazione” viene scaricato un file il cui nome finisce per “.apk“.
Questi file sono app che si possono installare nel cellulare: i cybercriminali in questo caso hanno persino riportato le istruzioni passo passo per installare l’app.

Ho scaricato il file ma poi non ho seguito le istruzioni: sono infetto?

No.
Cancella l’SMS e anche il file (puoi usare le applicazioni con funzioni di File Manager o Archivio ) e dimenticatene.

Ho scaricato il file e ho seguito le istruzioni: sono infetto?

.
Continua a leggere.

Sono infetto: cosa devo fare?

Android ha un meccanismo molto sicuro per impedire alle applicazioni di fare danni sul dispositivo o rubare i dati di altre applicazioni, Flu Bot può aggirare questo meccanismo solo se gli viene espressamente concesso di farlo.
Installare l’app di Flu Bot non è sufficiente per attivarlo: come prima cosa ti verrà chiesto di dare al malware il permesso di attivare il suo Servizio di accessibilità.

Flu Bot ti mostrerà una pagina simile a questa:

Se clicchi su OK, viene aperta la pagina delle impostazioni di accessibilità dove potrai trovare il servizio DHL (o con il nome del corriere che sta impersonando).
Se provi ad attivarlo Android ti ammonirà del fatto che il servizio potrà leggere tutto il contenuto dello schermo del cellulare e potrà simulare il tocco sullo schermo.
Questo spiega il motivo per cui nei testi riportiamo “Flu Bot” scritto staccato. Se il malware lo rileva tutto unito non permetterà alla vittima di leggere il contenuto della pagina.

L’avviso è simile a questo:

Finchè non acconsenti, il malware non è attivo e non può ancora causare danni al cellulare.

Ma io non ho acconsentito: cosa devo fare?

Rimuovi semplicemente l’applicazione!
Senza il consenso all’utilizzo del servizio di accessibilità, il malware è innocuo e può essere rimosso al pari di una normalissima applicazione.

Nessuna password è stata rubata, il conto corrente è ancora al sicuro. Una volta rimosso, il dispositivo è di nuovo sicuro da usare.

Purtroppo ho acconsentito: cosa succede e cosa devo fare?

Se hai acconsentito, Flu Bot è stato attivato.
Ti chiederà anche il permesso di accesso alle notifiche ma da quel momento in poi il malware è libero di assegnarsi i permessi che vuole (noterai che delle finestre si aprono e si chiudono da sole).

A questo punto, è sicuramente successo che:

  • La tua rubrica è stata rubata (nomi e numeri di cellulare), mettendo quindi a rischio tutti i tuoi contatti.
  • I tuoi messaggi SMS sono stati rubati.

Flu Bot non ha rubato password e non ha ancora eventualmente avuto accesso al conto corrente fino a questo punto (se sul dispositivo è presente l’app della tua banca), ma proverà (prima o poi) a mostrarti una finestra in cui ti viene chiesto di inserire il tuo numero di carta di credito (e gli altri dati simili).
Inoltre, se proverai ad aprire l’applicazione della tua banca, Flu Bot potrebbe mostrarti una finestra in cui ti viene chiesto di inserire nuovamente la password.
Questa finestra sarà del tutto (o molto) simile a quella dell’applicazione della tua banca e non è facile capire che è fasulla.

Inoltre, quello che scrivi sul cellulare dopo la sua attivazione potrebbe venir rubato (questa funzionalità non è ancora attiva nel malware, ma è presente).

In ogni caso non usare più il tuo cellulare per nessun processo di sicurezza (come ad esempio quando ti viene inviato un codice per SMS per l’accesso ad un servizio), ma passa subito alla sezione su come disinstallare Flu Bot.

Non ho inserito password o dati della carta di credito, quindi?

Rimuovi il malware e vedi sotto la sezione apposita.
Non ti è stata rubata nessuna password e il conto corrente è ancora sicuro ma la tua rubrica e i tuoi SMS sono stati rubati.
E’ quindi fortemente consigliato di:

  • Cambiare, per precauzione, le password dell’home banking, delle utenze di posta elettronica , PEC ,SPID e dei social network.
  • Controllare per precauzione i movimenti sul proprio conto corrente.
  • Richiedere al proprio gestore telefonico l’elenco di SMS ricevuti ed inviati (addicendo come motivazione l’infezione da malware) e verificare i messaggi anomali.
  • Avvertire, se possibile, i propri contatti dell’accaduto e della possibilità di ricevere finti messaggi provenienti da corrieri.

Ho inserito i dati della carta di credito o delle password: che devo fare?

Devi prima di tutto disinstallare il malware e poi bloccare subito la carta e cambiare le password, come suggerito sopra.

Se hai problemi con la rimozione dell’app, chiedi supporto ad una persona più esperta. In ogni caso, la parola d’ordine è muoversi in fretta!

Anche se doloroso, potrebbe essere utile procedere al ripristino ai valori di fabbrica del dispositivo ( reset): questo rimuove TUTTI i dati sul dispositivo,

Finchè non rimuovi Flu Bot, non è sicuro usare il tuo cellulare di sicuro per le operazioni sopra riportate, ma è vero in generale.
Per cui, la prima azione è rimuovere Flu Bot e non devi perdere tempo. Se la rimozione è troppo complicata, metti la tua scheda SIM in un vecchio telefono o in quello di una persona amica (è sicuro per loro, non corrono rischi) e procedi con il blocco della carta di credito e al cambio delle password.

Quindi, segui la procedura di rimozione per eliminare il malware dal cellulare infetto. Una volta rimosso, bloccato la carta di credito e cambiato le password, puoi tornare ad utilizzare il tuo cellulare e i tuoi servizi in sicurezza.

Valgono sempre le azioni consigliate nel punto sopra.

Come lo disinstallo?

Apri questa pagina: https://linuxct.github.io/remove/

Nella pagina troverai seguenti pulsanti:

Questi pulsanti scaricano tutti un’applicazione vuota che, una volta installata, sovrascrive quella di Flu Bot.
Segui le istruzioni (in lingua inglese) presenti nella pagina per scegliere quella giusta, altrimenti puoi semplicemente scaricarle ed installarle tutte.

Una volta installata l’applicazione giusta, potrai rimuoverla tranquillamente.

Ricorda che se sei un utente che conosce adb puoi utilizzarlo per disinstallare facilmente l’app.

Non posso disinstallare Flu Bot come una normale app?

No, perchè non appena Flu Bot si accorge che sei sulla finestra di disinstallazione, te la chiude (questo è un esempio di quello che un servizio di accessibilità malevolo può fare).

Ma perchè per rimuovere Flu Bot devo installare un’altra app e poi rimuoverla?

Perchè quelle applicazioni suggerite sono fondamentalmente viste da Android come aggiornamenti all’app di Flu Bot.
Solo che questi aggiornamenti sono in realtà applicazioni vuote e quindi, di fatto, rimuovono tutti i componenti malevoli di Flu Bot, incluso il falso servizio di accessibilità.

Una volta che l’installazione dell’app di rimozione ha rimosso i componenti, puoi rimuovere anche l’applicazione stessa.

Una volta rimosso Flu Bot mi rimane ancora qualcosa sul cellulare?

Di Flu Bot non rimane più traccia e il cellulare è sicuro.
Alcune impostazioni del sistema potrebbero essere cambiate, come le seguenti:

  • Potresti avere dei numeri estranei tra i contatti bloccati.
  • Google Play Protect potrebbe essere stato disattivato.
  • Potresti avere la deviazione di chiamata attiva. Contatta il tuo operatore per chiedere l’elenco di chiamate e codici USSD (codici operatori) effettuati dal tuo cellulare.

Ci sono altri rischi rispetto a quelli descritti?

Flu Bot è un malware in continua evoluzione e il cui repertorio di azioni in grado di compiere sta diventando consistente; è difficile quindi prevedere ogni possibile interazione con il cellulare della vittima.
Le minacce descritte sono quelle che fin ora abbiamo osservato analizzando Flu Bot.

In ogni caso, il cambio delle password, il controllo dei movimenti del conto corrente e la rimozione del malware sono operazioni sufficienti per il ripristino delle normali condizioni di sicurezza.

E’ possibile che in futuro si possa notare un incremento dell’invio di SMS malevoli o dei tentativi di truffa che si potranno ricevere.

Sono un utente esperto: posso saperne di più?

Certamente.

E’ possibile consultare qui le analisi ed i comunicati tecnici che abbiamo diramato fino a questo momento.

Gli Indicatori di Compromissione (IoC) sono di solito riportati in fondo alla pagina.

Di seguito, gli articoli di interesse:

Come posso proteggere la mia Azienda/Amministrazione?

Se sei tra le PA già accreditate alla piattaforme che distribuiscono IoC del CERT-AGID, hai già ricevuto gli indicatori di compromissione che condividiamo tempestivamente: non devi fare altro.

Se non sei tra le PA accreditate o sei una Azienda privata puoi comunque usufruire degli IoC che abbiamo già pubblicato allegati alle news e che riproponiamo quì di seguito per comodità:

Seguendo l’algoritmo utilizzato da Flu Bot per la generazione dei domini da contattare, abbiamo calcolato la lista dei potenziali C2 da monitorare per il mese di aprile e maggio 2021. Per questi domini così ottenuti si consiglia di prevedere un monitoraggio sul traffico network e conseguente emissione di alert qualora uno dei domini venga contattato dall’interno della propria rete.