Il malware FluBot torna a colpire gli smartphone Android in Europa
29 Aprile 2021 | Max Capitosti
VIRUS ANDROID CERCA Il malware per Android FluBot ha ripreso a diffondersi in diversi paesi europei attraverso il suo schema di consegna di pacchetti SMS. I suoi ultimi obiettivi includono utenti Android in Regno Unito, Germania, Ungheria, Italia, Polonia e Spagna, in base alle informazioni rilevate da Proofpoint e quelle opensource e potrebbe presto diffondersi anche tra gli utenti statunitensi.
I ricercatori di Proofpoint hanno eseguito il reverse engineering di campioni delle versioni 3.7 e 4.0 di FluBot, che utilizzano come esche FedEx, DHL e Correos, determinando la stessa funzionalità, con alcuni elementi di offuscamento e comunicazione C2 differenti. Gli autori di FluBot sono andati sostanzialmente oltre il loro obiettivo iniziale - la Spagna - estendendo le attività gradualmente a Regno Unito, Germania, Ungheria, Italia, Polonia, oltre che potenzialmente agli Stati Uniti.
Proofpoint ha osservato oltre 700 domini unici utilizzati nella sola campagna in lingua inglese, che sta colpendo quasi esclusivamente utenti del Regno Unito. Secondo i dati raccolti, questa campagna è iniziata con messaggi provenienti dalla Germania, rapidamente sostituiti da comunicazioni di mittenti britannici. I messaggi in lingua tedesca sono stati eliminati quando quelli inglesi hanno preso piede, indicando uno sforzo significativo e consapevole per diffondere FluBot da un paese all'altro.
Le stime di Proofpoint vedono circa 7.000 dispositivi attualmente infetti che diffondono la campagna in lingua inglese nel Regno Unito, ma il volume degli SMS pericolosi può essere di decine di migliaia all'ora, con alcuni abbonati di telefonia mobile che hanno ricevuto fino a sei messaggi contenenti il link di FluBot.
Proofpoint ha visto SMS in lingua tedesca e inglese inviati agli utenti statunitensi dall'Europa, potenziale risultato dell'invio del malware a tutti i contatti dei dispositivi infetti. Tuttavia, non è stato ancora osservato uno sforzo significativo per colpire i telefoni statunitensi, come è stato per il Regno Unito.
FluBot continua a operare rigorosamente via SMS, senza alcuna diffusione rilevata via e-mail in questo momento. Le versioni di FluBot analizzate da Proofpoint hanno un impatto minimo su Android SDK versione 7.0 e mirano ad Android SDK versione 9.0.
L'infezione di FluBot inizia con un messaggio SMS che impersona un servizio di consegna, contenente variazioni su temi di consegna, come "FEDEX Il tuo pacco è in arrivo, traccialo qui" e includono link a siti compromessi. Se la vittima apre il link, viene richiesto di scaricare un'app pericolosa che, per essere credibile, ha il logo del servizio di consegna come icona e utilizza file APK (il formato di file delle app di Android) dall'aspetto legittimo, con FluBot crittografato e incorporato.SEGUICI SU
FACEBOOKSEGUICI SU
TELEGRAM
I ricercatori di Proofpoint hanno eseguito il reverse engineering di campioni delle versioni 3.7 e 4.0 di FluBot, che utilizzano come esche FedEx, DHL e Correos, determinando la stessa funzionalità, con alcuni elementi di offuscamento e comunicazione C2 differenti. Gli autori di FluBot sono andati sostanzialmente oltre il loro obiettivo iniziale - la Spagna - estendendo le attività gradualmente a Regno Unito, Germania, Ungheria, Italia, Polonia, oltre che potenzialmente agli Stati Uniti.
Proofpoint ha osservato oltre 700 domini unici utilizzati nella sola campagna in lingua inglese, che sta colpendo quasi esclusivamente utenti del Regno Unito. Secondo i dati raccolti, questa campagna è iniziata con messaggi provenienti dalla Germania, rapidamente sostituiti da comunicazioni di mittenti britannici. I messaggi in lingua tedesca sono stati eliminati quando quelli inglesi hanno preso piede, indicando uno sforzo significativo e consapevole per diffondere FluBot da un paese all'altro.
Le stime di Proofpoint vedono circa 7.000 dispositivi attualmente infetti che diffondono la campagna in lingua inglese nel Regno Unito, ma il volume degli SMS pericolosi può essere di decine di migliaia all'ora, con alcuni abbonati di telefonia mobile che hanno ricevuto fino a sei messaggi contenenti il link di FluBot.
Proofpoint ha visto SMS in lingua tedesca e inglese inviati agli utenti statunitensi dall'Europa, potenziale risultato dell'invio del malware a tutti i contatti dei dispositivi infetti. Tuttavia, non è stato ancora osservato uno sforzo significativo per colpire i telefoni statunitensi, come è stato per il Regno Unito.
FluBot continua a operare rigorosamente via SMS, senza alcuna diffusione rilevata via e-mail in questo momento. Le versioni di FluBot analizzate da Proofpoint hanno un impatto minimo su Android SDK versione 7.0 e mirano ad Android SDK versione 9.0.
L'infezione di FluBot inizia con un messaggio SMS che impersona un servizio di consegna, contenente variazioni su temi di consegna, come "FEDEX Il tuo pacco è in arrivo, traccialo qui" e includono link a siti compromessi. Se la vittima apre il link, viene richiesto di scaricare un'app pericolosa che, per essere credibile, ha il logo del servizio di consegna come icona e utilizza file APK (il formato di file delle app di Android) dall'aspetto legittimo, con FluBot crittografato e incorporato.SEGUICI SU
FACEBOOKSEGUICI SU
TELEGRAM
ULTIME NOTIZIE
Sharp Aquos R6 - in Giappone il primo smartphone con sensore fotografico da 1 pollice
Samsung mostra tre smartphone con schermo pieghevole in anteprima
LG Velvet 2 Pro - l'ultimo smartphone in vendita soltanto ai dipendenti
Doogee X96 Pro - nuovo entry level economico, con fotocamera posteriore a quattro sensori
Oppo Find X3 Pro - l'esclusiva Find X3 Pro Mars Exploration Edition in vendita in Cina
Honor 50 - previsto un chip Snapdragon 775G
Leica pronta a 'tradire' Huawei per le fotocamere degli smartphone
Redmi K40 Light Luxury Edition - nuovo smartphone in arrivo a breve con un chip inedito
Realme GT Neo Flash - in arrivo una versione del GT Neo con batteria potenziata
Sony Xperia Ace 2 - nuove immagini confermano il design della scocca
Redmi Note 8 - in arrivo una versione rinnovata, emergono i primi dettagli
Samsung Galaxy A22 4G e Galaxy A22 5G protagonisti del primo confronto