Il CERT-AgID, cioè il Computer Emergency Response Team dell'Agenzia per l'Italia Digitale che risponde direttamente alla Presidenza del Consiglio dei Ministri per le questioni di sicurezza digitale, ha lanciato un allarme specifico su un nuovo virus informatico che colpisce solo i dispositivi Android. Si tratta del malware Flu Bot ed è molto pericoloso per i dispositivi colpiti, oltre ad avere una grande capacità di auto replicarsi immediatamente dopo essere entrato nello smartphone o nel tablet.
Come molti altri virus che circolano da quando la pandemia di Covid-19 ha causato il boom degli acquisti online, con conseguente consegna a casa di decine di pacchi e pacchetti al mese, anche questo codice pericoloso sfrutta il nome di un famoso corriere espresso e inganna l'utente dicendogli che c'è un pacco in attesa. Il virus viaggia tramite SMS, quindi per la precisione si tratta di una campagna di smishing. Ecco come riconoscere il messaggio pericoloso.
Virus Flu Bot: l'SMS pericoloso
Il veicolo principale di diffusione del virus Flu Bot è un messaggio SMS inviato alla SIM dell'utente. Nel messaggio, in italiano corretto, si parla di un inesistente pacco in attesa da sbloccare scaricando l'app di tracking del corriere DHL. Esistono diverse varianti di questo SMS e alcuni fanno riferimento ad altri corrieri, ma in linea di massima sono tutti simili: "Abbiamo il tuo pacco in attesa", "Il tuo pacco sta arrivando", "pacchetto in attesa per [numero di telefono] si prega di controllare i dettagli e confermare", "domani consegneremo il tuo pacco".
Ogni SMS inviato contiene però lo stesso link, che porta l'utente a scaricare il file DHL.apk (o simile, se il corriere imitato è un altro) dal quale parte l'infezione vera e propria.
Come funziona Flu Bot e perché è pericoloso
Quando chi riceve il messaggio fa tap sul link e scarica il file apk infetto è già troppo tardi: il link porta ad una pagina di phishing che replica in modo abbastanza fedele e credibile l'aspetto del sito ufficiale di DHL. Mentre l'utente vede questa pagina il sito infetto avvia il download in background della finta app di tracking di DHL. Al termine del download parte l'installazione dell'app, che chiede all'utente l'accesso ai cosiddetti "permessi di accessibilità" del sistema operativo Android.
Tali permessi sono stati concepiti per consentire determinate azioni alle app che facilitano l'ascolto e la lettura ai disabili e agli ipovedenti, ma nel caso di questa app infetta vengono utilizzati per tutt'altro scopo: mostrare a schermo schermate fake ogni volta che l'utente prova ad accedere ad un sito che richiede il login con nome utente e password.
Il virus Flu Bot imita le pagine di login dei social network come Facebook, app di chat come WhatsApp, caselle di posta elettronica come Gmail e, soprattutto, delle banche online. La schermata fake è in pratica una maschera, creata per raccogliere i dati di accesso e poi inviarli ai server di controllo di Flu Bot.
Ma non solo, perché Flu Bot mostra anche una finta schermata di Google Play Protect (un servizio legittimo di Google integrato nel sistema operativo Android) tramite la quale chiede all'utente l'inserimento di tutti i dati delle sue carte di credito.
Tra i vari permessi richiesti dall'app infetta c'è anche quello per accedere alla rubrica del dispositivo, cosa che permette al virus di rubare anche i numeri di telefono dei nostri contatti, che verranno poi usati per inviare altri SMS pericolosi al fine di diffondere ulteriormente l'infezione.
Per questo motivo uno dei modi per verificare se il dispositivo è stato infettato da Flu Bot è proprio quello di controllare la lista degli SMS in uscita: se ne troviamo molti, ma non siamo stati noi a inviarli, è molto probabile che dal nostro smartphone siano partiti a nostra insaputa dei messaggi pericolosi. In tal caso, dopo aver rimosso Flu Bot dal nostro dispositivo, sarebbe bene contattare tutti i destinatari di tali SMS per comunicare loro cosa è successo.
Sempre accedendo agli SMS, poi, il virus Flu Bot riesce a leggere anche i messaggi inviati dalle banche come secondo fattore di autenticazione delle transazioni, cosa che permette agli hacker che controllano da remoto il virus di effettuare bonifici dai conti correnti delle vittime verso conti esteri da loro controllati.
Di nuovo per lo stesso fine Flu Bot può anche comporre codici operatore USSD, cioè quelli di attivare funzioni telefoniche come la deviazione di chiamata. Tecnicamente, quindi, Flu Bot è un "infostealer" estremamente potente e pericoloso.
Come rimuovere il virus Flu Bot
Come sempre, quando si parla di virus informatici, la migliore cura è la prevenzione: non si dovrebbe mai fare click o tap su alcun link ricevuto via e-mail, SMS o messaggio WhatsApp se non si è più che certi che si tratti di un link sicuro. Men che meno si dovrebbero fornire i propri dati sensibili (e quelli delle carte di credito e dei conti in banca sono ancor più sensibili degli altri) a nessun sito o app senza apparente motivo.
Se stiamo facendo un acquisto online e ci viene chiesto di inserire i dati della carta di credito, infatti, è chiaro che possiamo inserirli con ragionevole certezza che tali dati siano al sicuro. Ma se una app ci chiede di inserire i dati senza un motivo valido allora è altrettanto certo che c'è qualcosa che non va.
Per fortuna, però, c'è un metodo valido e sicuro per rimuovere Flu Bot anche dopo l'infezione: il ricercatore di sicurezza Linuxct ha infatti creato un apposito tool. Si tratta di una app da scaricare sullo smartphone e da avviare, in grado di rimuovere il malware in totale autonomia. Il tool di Linuxct è disponibile a questo indirizzo.
Per usare il tool di Linuxct è necessario prima scaricare l'applicazione ML Manager dal Play Store a questo indirizzo. Si tratta di una app sicura per gestire i file apk. Dopo aver installato ML Manager bisogna aprirla e cercare l'app dalla quale è partita l'infezione di Flu Bot, che molto probabilmente avrà un nome che ricorda un corriere espresso come Fedex, DHL, MRW o simili. Se con ML Manager troviamo due o più app di Chrome è molto probabile che Flu Bot sia entrato nel dispositivo Android proprio da una di esse e non tramite una finta app del corriere.
Una volta individuata l'app infetta e dopo averla selezionata all'interno di ML Manager, è necessario prendere nota del nome del pacchetto di installazione che viene mostrato sotto il nome dell'app. Probabilmente sarà simile a "com.tencent.mm" o "com.eg.android.AlipayGphone".
A questo punto, in base al nome del pacchetto dell'app infetta, è necessario fare tap su uno dei seguenti link:
- com.tencent.mm
- com.tencent.mobileqq
- com.clubbing.photos
- com.redtube.music
- com.taobao.taobao
- com.eg.android.alipaygphone
- com.iqiyi.i18n
Verrà scaricata e installata l'app necessaria a rimuovere il virus Flu Bot dal dispositivo. Alla fine della procedura sarà possibile disinstallare sia ML Manager che l'app scaricata successivamente andando su Impostazioni > App e notifiche >Informazioni app e poi cercando le app in questione e selezionando Disinstalla.
In alternativa a questa procedura, che è efficace ma non semplicissima, c'è un'opzione molto più semplice ma drastica: procedere al reset completo del dispositivo alle impostazioni di fabbrica. Ciò cancellerà tutti i nostri dati dallo smartphone, ma anche l'app infetta e i file del virus Flu Bot.
Per resettare lo smartphone è necessario andare su Impostazioni > Sistema > Opzioni di reimpostazione > Cancella tutti i dati (ripristino dati fabbrica).