Flubot: lo spyware diffuso tramite SMS

Flubot: lo spyware diffuso tramite SMS

Recentemente Flubot, uno spyware che colpisce gli smartphone, si è diffuso in tutto il Regno Unito. Il malware viene veicolato tramite SMS, utilizzando falsi messaggi di consegna pacchi e inducendo gli utenti a scaricare il software dannoso. Gli operatori hanno affermato che milioni di questi testi dannosi sono già stati inviati attraverso le loro reti, provocando abbastanza scalpore da consentire all’NCSC di fornire indicazioni correttive.

Ecco cosa bisogna sapere su Flubot

Flubot è una forma di spyware che può essere utilizzata per assumere il controllo e raccogliere informazioni dai dispositivi, ha anche la capacità di inviare messaggi ai contatti dei dispositivi infetti. Il fatto che questo malware mobile possa interagire con l’elenco dei contatti di un dispositivo significa che all’applicazione sono state concesse autorizzazioni avanzate.

Per questa particolare campagna, gli SMS utilizzati per distribuire Flubot invitavano gli utenti a una pagina web per scaricare un’applicazione di “consegna pacchi”, simile alle tradizionali campagne di smishing. In questo caso, il marchio principale utilizzato è stato DHL, ma ci sono state segnalazioni anche di Royal Mail, FedEx ed Hermes.

L’applicazione si presenta sotto forma di APK, il che significa che interessa solo i dispositivi Android. Come impostazione predefinita, le applicazioni di terze parti sono bloccate dal download automatico sui dispositivi Android, tuttavia, la falsa pagina di download fornisce agli utenti una guida su come aggirare questa funzione di sicurezza, consentendo installazioni da fonti sconosciute.

Come professionista IT, questo è un chiaro segnale di pericolo, tuttavia, le installazioni di app di terze parti sono comuni nel mondo dei consumatori, in particolare perché le app come Fortnite si sono spostate dagli app store ufficiali alle piattaforme self-hosted.

O2, Vodafone, Three, così come una serie di altri operatori si sono rivolti al mondo di Twitter per avvertire il pubblico su Flubot e su cosa fare attenzione.

 

Cosa fare se avete ricevuto un SMS Flubot?

In primo luogo, non fare clic sul collegamento né installare l’app. In secondo luogo, inoltrare il messaggio al 7726, un servizio gratuito di segnalazione dello spam fornito dagli operatori telefonici. Quindi eliminare il messaggio.

Se avete già scaricato l’app, l’NCSC consiglia di eseguire un ripristino delle impostazioni di fabbrica il prima possibile. Quando viene riprestinato il dispositivo assicurarsi che, se viene eseguito il ripristino da un backup, il backup sia precedente all’installazione dell’applicazione Flubot.

Se avete utlizzato la soluzione Threat Defense di Wandera, allora sarete protetto.

Lezioni da Flubot

Ciò che è chiaro da questa campagna di malware è che smishing e malware continuano a essere una minaccia. Questo è evidente dalle orde di persone che commentano i tweet di Flubot chiedendo cosa fare se hanno cliccato sul collegamento o inserito i loro dati.

Minacce come Flubot attirano l’attenzione sulla sicurezza mobile. Ci sono una serie di idee sbagliate sulla sicurezza mobile che in genere portano i dispositivi mobili a essere non protetti negli ambienti aziendali. I dispositivi mobili sono solo piccoli computer suscettibili alle minacce informatiche. Poiché i dispositivi personali interagiscono sempre di più con gli ambienti IT aziendali, cresce la necessità di garantire la sicurezza senza il sovraccarico di gestione o i problemi di privacy causati da Unified Endpoint Management (UEM).

Capire le autorizzazioni delle app, se è stato eseguito il root o il jailbroken di un dispositivo, se ci sono app dannose o rischiose installate è fondamentale prima di consentire ai dipositivi mobili di connettersi al vostro ambiente.

Non si lascerebbe collegare un computer portatile con malware installato, quindi non dovrebbe essere diverso per un dispositivo mobile. Questo è particolarmente pertinente per i dispositivi non gestiti come BYOD o dispositivi di terze parti.

Man mano che le strategie di accesso e sicurezza maturano per accogliere il lavoro ibrido, le aziende di tutte le dimensioni stanno adottando modelli Zero Trust Network Access (ZTNA), integrando la valutazione dei dispositivi nelle decisioni di accesso alle applicazioni.

Maggiori informazioni sulle soluzioni Threat Defense e Private Access di Wandera.

Fonte: Wandera

Il rischio degli Spyware commerciali

Il rischio degli Spyware commerciali

Spyware. No, non stiamo parlando degli oggetti tecnologici che Mr. Q fornisce a James Bond prima di una missione, ma della tecnologia di sorveglianza utilizzata per tenere sotto controllo i dispositivi di terze parti.
Sembra tremendamente riservato al mondo dello spionaggio, ma qualsiasi civile può metterci le mani sopra. A giudicare dai dati di ricerca di Google, c’è un’enorme domanda di spyware mobile con oltre 90.000 ricerche al mese per il solo termine ‘app spia’.
È stato creato un mercato e le applicazioni spyware sono pronte per i curiosi. Si tratta senza dubbio di una tecnologia eticamente discutibile che viola la privacy della vittima designata, da qui il motivo per cui Google e Apple hanno rimosso le app di questo tipo dai loro rispettivi app store.

Ma quali sono i rischi che lo spyware commerciale comporta per le parti coinvolte?

Il team di Wandera Research ha studiato circa 40 applicazioni spyware commerciali per comprenderne il comportamento e le vulnerabilità.

In primo luogo, dobbiamo definire cosa intendiamo per “spyware commerciale”.

Cosa sono le applicazioni spyware commerciali?

Le applicazioni spyware commerciali, chiamate anche app spia  o più in generale “spyware”, sono applicazioni di sorveglianza utilizzate per monitorare, tracciare ed estrarre informazioni da dispositivi mobili di terze parti.

Lo spyware commerciale è comunemente commercializzato con il pretesto del software di controllo parentale, che è un uso apparentemente legittimo. Tuttavia, come la maggior parte delle forme di tecnologia, nelle mani sbagliate può essere utilizzato in modo improprio. I coniugi potrebbero monitorare i loro partner, le organizzazioni potrebbero monitorare i loro dipendenti, o gli hacker potrebbero installare spyware su un dispositivo di un dirigente  ed estrarre informazioni aziendali sensibili.

Le capacità di queste applicazioni sono sorprendentemente vaste. Possono fornire visibilità di messaggi SMS, telefonate, GPS, calendario, social media, traffico di rete, nonché controllare a distanza il dispositivo per  attivare il microfono o la fotocamera, disinstallare o installare il software o bloccare il dispositivo. Fondamentalmente, qualsiasi cosa venga fatto sul telefonino.

I clienti non vogliono far sapere alle loro vittime che vengono spiate e le applicazioni sono state progettate tenendo conto di ciò: o eliminandosi dalla vista post-installazione o mascherarsi come altre applicazioni.

Quali sono i problemi di sicurezza dello spyware commerciale?

Il team di ricerca di Wandera ha identificato i seguenti aspetti come alcuni dei rischi per la sicurezza con le app spyware commerciali.

Installazione di applicazioni spyware commerciali

Le applicazioni spyware su cui è stata fatta una ricerca non erano legate ad alcun dispositivo particolare, consentendo ad un hacker di scaricare il software e spiare i loro bersagli tramite una console online. Gli unici prerequisiti per iniziare sono l’accesso fisico al dispositivo per installare l’applicazione o la conoscenza delle credenziali di iCloud (solo per iPhone). Se si lavora su quest’ultima base, generalmente significa che sono monitorate le informazioni archiviate su iCloud piuttosto che ciò che si trova effettivamente sul dispositivo.

Con l’accesso al dispositivo, l’installazione è relativamente semplice.

Per Android, l’opzione unknown souce deve essere abilitata in modo che le applicazioni da fonti non attendibili possano essere installate. In alternativa, una misura più estrema è quella di eseguire il root del dispositivo e, ancora una volta, ciò non è privo di rischi per la sicurezza. Un dispositivo iOS può essere jailbroken per ottenere lo stesso effetto.

Dato che il presunto use case di queste applicazioni spia è quello di proteggere i propri cari, ci sono parecchie manomissione con caratteristiche di sicurezza intrinseche per entrambi i sistemi operativi leader di mercato, che a loro volta, espongono potenzialmente l’obiettivo a maggiori minacce – oltre a incoraggiare un comportamento degli  utenti più rischioso.

Gestione delle credenziali

Negli ultimi mesi, ci sono state una serie di violazioni dei vendor, vale a dire mSpy (seconda volta in tre anni), SpyFone, LocationSmart e CoupleVow. Così non solo i dispositivi che vengono spiati i sono potenzialmente esposti a più minacce a causa della manomissione delle funzioni di sicurezza del sistema operativo, c’è l’ulteriore preoccupazione che il dispositivo e le credenziali detenute potrebbero essere ulteriormente compromesso da una violazione del fornitore.

Il team di Wandera Research ha inoltre identificato problemi di sicurezza per i clienti spyware.

Un particolare fornitore auto-genera una password per l’utente, che ha un modello piuttosto debole e prevedibile: sette cifre numeriche seguite da una lettera, ad esempio 1234657a. Se gli utenti non cambiano questa password predefinita, può essere facilmente identificata.

Un altro fornitore permette agli utenti di generare la propria password, ma dopo la registrazione invia all’utente un’email con la password nel corpo dell’email. Questa pratica suscita preoccupazioni in quanto indica che il fornitore memorizza la password in formato testo in chiaro, il che significa che se i server di un fornitore dovessero essere compromessi, gli individui sotto sorveglianza potrebbero essere spiati da un aggressore.

Alcuni altri risultati e statistiche sulla natura delle applicazioni spyware commerciali:

Il 28% delle applicazioni spyware è destinato ad essere utilizzato solo su Android, il resto delle applicazioni può essere utilizzato sia su Android che su iOS.
Il 52% delle applicazioni iOS non richiede l’accesso fisico al dispositivo o l’installazione di qualsiasi applicazione, ma richiede le credenziali di iCloud.
Il 41% delle applicazioni ha accesso completo al calendario.
Il 79% delle applicazioni supporta l’estrazione non autorizzata dei dati dai social media.
L’82% delle applicazioni fornisce funzionalità per spiare le abitudini del browser di un utente.
L’82% delle applicazioni fornisce l’accesso ai file memorizzati sul dispositivo.
Il 50% delle applicazioni offre la possibilità di controllo remoto.

È importante che le organizzazioni siano consapevoli che questo tipo di tecnologia esiste, è prontamente disponibile e facile da usare e distribuire. Le applicazioni spia potrebbero essere facilmente rivolte contro un’organizzazione. C’è la barriera dell’installazione, ma basta solo un attacco di phishing sofisticato ai dipendenti per consegnare le loro credenziali iCloud.

Fonte: Wandera