Se trata de una campaña de malware dirigida a los usuarios de móviles de todo el mundo cuyo objetivo es robar información personal
En las últimas semanas, los usuarios de dispositivos móviles en varios países han recibido mensajes SMS vinculados a un malware bancario llamado “FluBot”. Esta amenaza pretende ser de una empresa de mensajería y pide a los usuarios que instalen una aplicación de seguimiento para rastrear el estado del paquete, pero de hecho se utiliza para robar credenciales y otros datos personales. Avast, que detecta y bloquea esta amenaza protegiendo a sus usuarios de Android, alerta sobre nuevas muestras de FluBot que llegan diariamente a través de su plataforma de inteligencia de amenazas móviles apklab.io.
Según una investigación reciente, FluBot ya ha infectado hasta ahora 60.000 dispositivos y el número total de números de teléfono recopilados por los atacantes se estimó en 11 millones a finales de febrero/principios de marzo.
“Los primeros ataques de FluBot se reportaron hace semanas y todavía vemos decenas de nuevas versiones de muestra evolucionando todos los días”, dijo Ondrej David, Líder del equipo de Análisis de Malware en Avast. “Por el momento, los principales objetivos de la campaña atacante son España, Italia, Alemania, Hungría, Polonia y el Reino Unido. Pero existe la posibilidad de que el alcance de la operación se amplíe para apuntar a otros países en un futuro próximo. Si bien las soluciones de seguridad bloquean estos ataques, la rápida continuación de esta campaña demuestra que tiene éxito, por lo que instamos a las personas a tener mucho cuidado con cualquier SMS entrante que reciban, especialmente en lo que respecta a los servicios de entrega.”
Cómo funciona FluBot
FluBot es un ejemplo de una campaña de malware basada en SMS. Se propaga enviando mensajes SMS que afirman que el destinatario tiene un paquete por ser entregado y les insta a descargar una aplicación de seguimiento utilizando el enlace incluido. Si el destinatario hace clic en el enlace, se le dirige a un sitio que ofrece descargar la aplicación. La aplicación es un malware que, cuando se instala, roba la información de contacto de la víctima y la carga en un servidor remoto. Posteriormente, el servidor utiliza esta información para enviar mensajes adicionales y distribuir aún más los mensajes SMS maliciosos a esos contactos.
La aplicación maliciosa utiliza un componente de Android conocido como Accesibilidad para monitorear lo que sucede en el dispositivo y tomar el control de él. Esto le permite mostrar superposiciones de ventanas de alta prioridad, entre otras cosas. En otras palabras, el malware puede mostrar algo sobre cualquier cosa que esté actualmente en la pantalla. Por ejemplo, un portal bancario falso que se muestra sobre la actividad de una aplicación bancaria legítima. Si el usuario ingresa sus credenciales en esa pantalla superpuesta, pueden ser robadas.
Este componente conocido como Accesibilidad también es explotado por el malware como un mecanismo de autodefensa para cancelar cualquier intento de desinstalación por parte de los usuarios afectados, lo que dificulta su eliminación de los dispositivos infectados.
“Lo que hace que este malware sea particularmente exitoso es que se disfraza de servicios de entrega postal/paquetería, usando texto como 'Su paquete está llegando, descargue la aplicación para rastrearlo' o 'Perdió la entrega de su paquete, descargue la aplicación para rastrearlo', de la que muchos usuarios desprevenidos fácilmente serían víctimas. Especialmente en la situación actual en la que alguna forma de entrega a domicilio se ha convertido en el modo de operación estándar para muchas empresas durante la pandemia”, dijo Ondrej David.
Durante la pandemia, más personas se han acostumbrado a las compras en línea y ya es común recibir paquetes con frecuencia. Según un estudio de Google, el 30% de los compradores online del último año en Argentina realizaron su primera compra online durante la pandemia y el 92% de estos nuevos compradores online planea seguir comprando online en el futuro. Los ciberdelincuentes que desarrollan malware como este aprovechan las tendencias y los eventos actuales para asegurarse de que atraen a tantas víctimas potenciales como sea posible.
¿Cómo protegerse de FluBot?
En primer lugar, instalar una solución antivirus que evite amenazas como FluBot. Avast Antivirus para Android detecta y alerta a los usuarios sobre la amenaza protegiendo a los usuarios. Además, si creen que ya están afectados por FluBot, pueden instalar la aplicación antivirus para ejecutar un escaneo en el dispositivo e identificar el malware. Si se encuentra, es recomendable reiniciar el dispositivo en modo seguro y desinstalar la aplicación detectada desde allí. Con este paso, todas las demás aplicaciones de terceros también se desactivarán momentáneamente, pero volverán a estar activas con el próximo reinicio regular.
Si los usuarios piensan que pueden haber sido víctimas de robo de credenciales a través de este ataque, es recomendable restablecer las contraseñas de los servicios que creen que podrían haber sido comprometidos, como aplicaciones bancarias y de compras.
Además, recomendamos a los usuarios que empleen las siguientes medidas para protegerse de FluBot y otros ataques de phishing móvil:
- No hacer clic en enlaces en mensajes SMS. Especialmente si un mensaje pide instalar un software o aplicaciones en los dispositivos.
- Ser escéptico. Ser precavido con cualquier SMS sospechoso. Si se recibe una comunicación que no se esperaba, siempre es mejor que el usuario llame a la empresa por sí mismo utilizando la información de contacto proporcionada en el sitio web legítimo, para confirmar el mensaje recibido. No responder directamente a una comunicación sospechosa. Comenzar siempre una nueva comunicación a través de los canales de servicio oficiales de la empresa.
- Cuestionar el mensaje. Es importante entrenar los ojos para detectar mensajes de phishing. Estos tienden a ser genéricos y se extienden a las masas, así como mensajes automáticos o mensajes que presentan una oferta que parece demasiado buena para ser verdad (es decir, cómo ganar un nuevo teléfono inteligente o heredar una gran suma de dinero de un familiar desconocido).
- No instalar aplicaciones desde cualquier lugar que no sea las tiendas de aplicaciones oficiales. La mayoría de las principales compañías de envíos tienen sus propias aplicaciones disponibles para descargar en tiendas de confianza como Google Play o Apple App Store. Además, es importante configurar la seguridad del dispositivo móvil para que sólo instale aplicaciones de fuentes confiables como Google Play o la App Store de Apple.