Il noto malware FluBot continua a colpire ignare vittime, utilizzando tecniche più sofisticate e nuove funzionalità. Le modalità di distribuzione sono molto variegate (dal finto aggiornamento software al tracciamento di una spedizione). Gli attacchi più recenti sfruttano un falso APK del Flash Player che installa il trojan bancario sul dispositivo Android.
FluBot si aggiorna con nuova funzionalità
Il furto delle credenziali di accesso agli account bancari è solo una delle “funzionalità” di FluBot. Il malware può anche intercettare e inviare SMS, leggere i codici dell’autenticazione in due fattori, accedere alla rubrica, catturare screenshot e raccogliere numerosi dati personali che vengono inviati ad un server remoto. I contatti della rubrica vengono utilizzati per inviare SMS alle vittime che cliccano sul link incluso, pensando di aver ricevuto il messaggio da un conoscente. Il link punta all’app infetta che nasconde il malware.
Con l’ultima versione 5.2, rilasciata pochi giorni fa, è stato aggiornato il DGA (Domain Generator Algorithm) che genera i domini C2 (command and control) al volo, rendendo poco efficaci le blocklist DNS. Gli autori del malware usano ora 30 domini top-level, invece di tre precedenti. Per la comunicazione con i server viene usato il DNS Tunneling over HTTPS, invece della porta 443 HTTPS.
Grazie alle nuove funzionalità, FluBot può disinstallare le app, disattivare Google Play Protect e ottenere un elenco di app per le quali verrà mostrata un’interfaccia fasulla (che gli utenti useranno per inserire i dati di accesso). Per evitare l’infezione è meglio cancellare subito gli SMS con link, anche se ricevuti da un amico o un familiare. Ovviamente è consigliabile l’installazione di una soluzione di sicurezza per Android.