Alcune persone hanno subito un attacco con una tecnica cosiddetta di smishing, ovvero si sono trovate a scaricare inconsapevolmente una app sul telefono che ha dato modo ad alcuni malfattori di svuotare il loro conto corrente.

L’app installata si chiama FluBot. Se la vittima non installa l’app, la truffa non può scattare.

I criminali iniziano mandando un SMS che annuncia che è disponibile un messaggio vocale riguardante l’invio di un pacco. L’SMS offre un link cliccabile per ascoltare il messaggio. Ma se la vittima clicca sul link, le viene proposto di installare un’apposita app di gestione dei messaggi vocali, e quest’app non proviene dallo store ufficiale Android, ossia Google Play. Questo dovrebbe mettere in allarme la vittima, ma spesso prevalgono la curiosità di scoprire cosa c’è nel presunto messaggio vocale e l’ignoranza del rischio.  I truffatori scelgono di mascherare l’app truffaldina spacciandola per un’app per messaggi vocali per un motivo ben preciso: l’app chiederà alla vittima il permesso di accedere alla rubrica telefonica e ad altre informazioni sensibili, e la vittima probabilmente ci crederà perché pensa che sia un’app di messaggistica e quindi è logico che debba accedere alla rubrica.

Se la vittima concede i permessi, l’app maligna raccoglierà l’elenco dei contatti e manderà SMS a tutti i contatti della vittima, cercando nuovi bersagli da attaccare, intanto che acquisisce le informazioni sulle carte di credito, le credenziali di accesso e altri dati ancora e usa i privilegi di accessibilità per rendere difficile disinstallarla. Di qui ad usare i dati di accesso per entrare nel conto corrente, è un attimo.

Ecco quindi la necessità di tenere a freno la curiosità e non installare mai un’app se non si è perfettamente sicuri di cosa si sta facendo, e da dove provenga.