Il messaggio vocale, però, in realtà non esiste e il link porta invece a un avviso che dice che per ascoltare il messaggio la vittima deve installare un’app apposita non ufficiale che non si trova nei normali archivi di app. Questa app è il virus vero e proprio.
Se la vittima abbocca all’esca emotiva e la installa, FluBot prende il controllo dello smartphone e si mette in attesa. Quando la vittima usa il telefonino per una transazione bancaria, FluBot se ne accorge, ruba il nome utente e la password e intercetta l’SMS che contiene la password aggiuntiva temporanea necessaria per validare la transazione. Fatto questo, ha tutto il necessario per prendere il controllo del conto corrente della vittima e consegnarne il contenuto ai criminali informatici che gestiscono il virus.
Già che c’è, FluBot usa la rubrica telefonica della vittima per trovare nuovi bersagli, esattamente come faceva Iloveyou, e questo gli consente di propagarsi in modo esplosivo.
Rimuovere FluBot dal telefonino, inoltre, non è facile: non basta togliere l’app ma è necessario un riavvio in Safe Mode, una procedura che è meglio affidare a mani esperte.
C’è anche un altro parallelo con quell’attacco di due decenni fa: FluBot può colpire soltanto se l’utente clicca sul link presente nel messaggio, proprio come avveniva con lloveyou. Senza questo primo gesto, l’attacco fallisce.
FluBot e Iloveyou sono accomunati anche da un’altra peculiarità: funzionano soltanto su alcuni tipi specifici di dispositivi molto diffusi. Iloveyou poteva agire soltanto sui popolarissimi sistemi Windows 95 che usavano Outlook; non aveva alcun effetto sui computer MacOS o Linux. Allo stesso modo, oggi FluBot colpisce soltanto gli smartphone, e specificamente gli smartphone Android; non ha effetto sui telefonini non smart e sugli iPhone.
L’attacco di FluBot, quindi, ha effetto soltanto se si verifica una catena ben precisa di errori dell’utente:
- la vittima si fida del messaggio di invito, pensando che provenga da un suo conoscente fidato;
- clicca sul link presente nel messaggio;
- scarica e installa un’app non ufficiale senza chiedersi come mai non è presente negli App Store normali;
- e usa uno smartphone Android senza proteggerlo con un antivirus aggiornato.
Se manca uno solo di questi anelli della catena, l’attacco fallisce.
Oggi come allora, insomma, difendersi dagli attacchi informatici più diffusi è soprattutto questione di emozioni, di psicologia più che di tecnologia. E siccome la psicologia umana non cambia e non si aggiorna, certe trappole funzionano sempre e continueranno a funzionare.
La differenza è che adesso le trappole psicologiche vengono usate dal crimine organizzato, mentre vent’anni fa Onel de Guzman era semplicemente uno smanettone che voleva usare Internet a scrocco. E la sua esca psicologica era altrettanto semplice: il bisogno universale umano di sentirsi amati da qualcuno.
—
Informazioni su FluBot e istruzioni per riconoscerlo e rimuoverlo
Guida dell’operatore telefonico svizzero Salt (in italiano).
Descrizione tecnica dettagliata di FluBot (Switch.ch, in inglese).
Articolo di Le Temps.ch (in francese).
Avvertenza del Centro Nazionale per la Cibersicurezza svizzero (in italiano, giugno 2021).
Fonti aggiuntive: CNN, Sophos, AP Archive, Graham Cluley.
