Negli ultimi giorni il CERT-AGID ha intercettato una nuova campagna malware in Italia che prende di mira gli smartphone Android. Flu Bot 3.9, il malware in questione trasmesso tramite SMS.
Successivamente si è scoperto che questo malware ha l’abitudine di spacciarsi come una richiesta di azione da parte del corriere DHL. Scopriamo insieme i dettagli.
Android: nuovo malware che si spaccia per DHL
L’utente a cui viene inviato l’SMS, viene spinto a cliccare un link presente in un messaggio il cui mittente sembra essere la nota azienda di spedizioni. Una volta cliccato sul link, una finta pagina di download propone di scaricare l’applicazione DHL.apk sul proprio dispositivo, come mostrato nell’immagine sottostante.
Flu Bot 3.9, una volta ottenuti i permessi per agire come “servizio di accessibilità”, è in grado di operare tutta una serie di azioni che possono gravemente compromettere le informazioni più personali salvate sul proprio smartphone, come le credenziali di accesso a servizi e/o conti bancari. I dati, infatti, vengono automaticamente copiati e inviati a server esterni.
Dall’analisi del codice scopriamo che Flu Bot è in grado di esfiltrare la rubrica, inviare SMS arbitrari, molto probabilmente per incrementare la sua diffusione, disabilitare Google Play Protect, eseguire codici operatore (USSD) per attivare servizi come la deviazione di chiamata, abilitare/disabilitare l’intercettazione degli SMS, disinstallare un’app. Per proteggersi da Flu Bot, e più in generale dai malware, ricordiamo di non cliccare mai link contenuti all’interno di SMS sospetti.