Una volta tanto dal mondo del crimine informatico arriva una buona notizia:
FluBot, uno dei più diffusi malware per smartphone Android, usato per rubare
password e accedere a conti bancari, è stato bloccato da un intervento
coordinato delle forze di polizia di undici paesi.
Lo ha
annunciato
il primo giugno Europol, con un comunicato stampa che non entra nei dettagli
tecnici ma si limita a dire che a
maggio scorso la polizia olandese ha interrotto
l’operatività dell’infrastruttura informatica che gestiva questo malware. Il risultato è che le tante persone che hanno il telefonino
infettato da FluBot non corrono più alcun pericolo.
La storia di FluBot è una delle più spettacolari degli ultimi tempi in campo informatico. Avvistato
inizialmente a dicembre del 2020, questo malware si era propagato rapidamente nel corso del
2021, infettando un numero molto elevato di smartphone Android, con effetti
particolarmente pesanti in Spagna e Finlandia.
La sua tecnica di diffusione
era classica, come avevo raccontato in questo podcast a
ottobre 2021
con un aggiornamento proprio
la settimana scorsa: la vittima riceveva un SMS che fingeva di essere un avviso di tracciamento
di un pacco postale o un messaggio vocale e conteneva un link da cliccare per
installare un’app che, stando all’SMS, era necessaria per tracciare la
spedizione o ascoltare il messaggio vocale.
Ma se la vittima cliccava sul link e installava la presunta app, in realtà
installava FluBot, che prendeva il controllo dello smartphone per rubare
credenziali bancarie, intercettare i codici delle autenticazioni a due fattori
e disabilitare le normali protezioni dei telefonini Android.
FluBot accedeva
poi alla rubrica dei contatti del telefonino infetto e inviava di nascosto a tutti i
contatti degli SMS ingannevoli dello stesso genere per tentare di infettare
altri smartphone. Questo sistema molto semplice gli consentiva di propagarsi
con estrema rapidità e a insaputa delle vittime.
Il danno complessivo causato da FluBot è difficile da quantificare, ma la
polizia olandese
dichiara
di aver scollegato diecimila vittime dalla rete di FluBot e di aver impedito
l’invio di oltre sei milioni e mezzo di SMS che avrebbero tentato di infettare
altrettanti smartphone.
Europol nota che sono state convolte le forze di polizia di Australia, Belgio,
Finlandia, Ungheria, Irlanda, Romania, Svezia, Spagna, Stati Uniti, Olanda e
Svizzera. La polizia spagnola, a marzo 2021, aveva compiuto quattro arresti di
persone sospettate di essere elementi chiave dell’organizzazione criminale che
gestiva FluBot, ma dopo una breve pausa il malware aveva ripreso a diffondersi
ancora più rapidamente. Ora le forze dell’ordine hanno preso il controllo
dell’infrastruttura di FluBot e quindi non c’è più rischio di nuove
propagazioni.
Resta però il problema dei tanti utenti infetti, che probabilmente nemmeno
sanno di essere stati colpiti da FluBot perché questo malware agisce senza
produrre effetti visibili. Se avete cliccato sul link in un SMS che vi
chiedeva di installare un’app e ora avete sullo smartphone un’app che non si
apre quando la toccate e produce un messaggio di errore se tentate di
disinstallarla, potrebbe trattarsi di FluBot, spiega Europol, che ha un
consiglio piuttosto drastico per chi sospetta di essere stato infettato: fare
un ripristino di fabbrica del telefonino, che sicuramente rimuoverà
l’eventuale malware ma comporterà la perdita di tutti i dati non salvati su
supporti esterni. Maggiori dettagli su come procedere sono disponibili in
questo tutorial video
e in
queste istruzioni
dell’operatore telefonico svizzero Salt.
Fonti aggiuntive:
HelpNetSecurity, BleepingComputer,
AFP.