Le società che si occupano di spedizioni sono diventate il veicolo preferito dai cybercriminali per distribuire malware. Da qualche settimana è in atto una massiccia campagna che sfrutta la notorietà di DHL per accedere ai dispositivi degli utenti tramite FluBot e rubare informazioni sensibili, come i dati della carta di credito.
Sembra un messaggio di DHL, invece è FluBot
Nelle ultime due settimane sono arrivate numerose segnalazioni al CERT-AGID da utenti che hanno ricevuto strani messaggi da DHL contenente un link per il tracciamento della spedizione. Gli autori del malware continuano a cercare nuove vittime in diversi paesi europei, tra cui Italia, Regno Unito, Spagna, Polonia, Germania e Ungheria. FluBot è stato recentemente aggiornato, in modo da migliorare le capacità di worm e di rilevazione delle app di rimozione.
Se l’utente clicca sul link presente nel messaggio viene aperta una pagina con il logo di DHL e un pulsante per il download del file APK relativo ad una presunta app di tracciamento del pacco. Il target sono quindi i dispositivi Android. FluBot è un malware “infostealer”, quindi una volta installato inizia a raccogliere una serie di informazioni, tra cui password, dati della carta di credito e credenziali di accesso al conto corrente online.
Il malware può inoltre leggere i codici 2FA (autenticazione in due fattori) ricevuti via SMS, visualizzare pagine di phishing sostituendo quelle richieste dalle app, chiedere l’inserimento dei dati della carta di credito in una finta pagina di verifica di Google Play Protect e accedere ai contatti nella rubrica. Questi ultimi vengono utilizzati per diffondersi velocemente attraverso l’invio di messaggi ingannevoli.