FluBot, un malware que se hace pasar por una empresa de reparto

En las últimas semanas, los usuarios de dispositivos móviles de diferentes países han recibido mensajes SMS que enmascaraban un enlace a un troyano bancario denominado FluBot. Esta amenaza finge ser una empresa de reparto y pide a los usuarios que instalen una aplicación de seguimiento para poder seguir el estado de su paquete. 

Según ha detectado la firma de ciberseguridad Avast, la aplicación que se solicita a los usuarios sirve a los ciberdelincuentes para robar sus credenciales y otros datos personales. De acuerdo con sus cálculos, FluBot ya ha infectado 60.000 dispositivos y se estima que el total de números de teléfono recopilados por los atacantes ascendía a 11 millones a principios de marzo. 

“Por el momento, los objetivos principales de esta campaña son España, Italia, Alemania, Hungría, Polonia y Reino Unido, pero existe la posibilidad de que el alcance de la operación se extienda a otros países a corto plazo”, ha explicado Ondrej David, jefe del equipo de análisis de malware de Avast, quien añade que, a pesar de que las soluciones de seguridad actuales bloquean este ataque, “la rápida evolución de esta campaña demuestra que tiene éxito, por lo que instamos a los ciudadanos a tener mucho cuidado con cualquier SMS entrante que reciban, especialmente los que tienen que ver con servicios de entrega”. 

FluBot es un ejemplo de campaña de malware basada en SMS. Disfrazado de mensaje corporativo de una compañía de transporte, se le pide a los usuarios que pinchen en el enlace para descargar una aplicación de seguimiento. 

La app es, en realidad, un malware que, cuando se instala, roba la información de contacto de la víctima y la sube a un servidor remoto. Esta información es utilizada después por el servidor para enviar mensajes similares y seguir distribuyendo los SMS maliciosos entre los contactos. 

La aplicación maliciosa aprovecha un componente de Android, conocido como ‘Accesibility’, que supervisa lo que ocurre en el dispositivo y tomar el control del mismo. Así, la app puede mostrar pantallas emergentes sobre las que aparecen en el smartphone, para enseñar, por ejemplo, un portal bancario falso encima de una aplicación bancaria legítima. El malware también aprovecha esta funcionalidad para cancelar cualquier intento de desinstalación por parte de los usuarios. 

El investigador de Avast recomienda la instalación de una solución antivirus en los dispositivos móviles basados en Android. En caso de que un teléfono móvil esté infectado, aconseja reiniciar el dispositivo en modo seguro y desinstalar la app maliciosa desde allí. 

De igual modo, si los usuarios creen que pueden haber sido víctimas del robo de credenciales como consecuencia de este ataque, es aconsejable restablecer las contraseñas de los servicios que crean que pueden haber sido comprometidas, como las aplicaciones bancarias.