FluBot infectó a fines del año pasado a más de 60.000 usuarios en España
¡Atención, usuarios de Android! Un malware bancario capaz de robar información confidencial se está "propagando rápidamente" por Europa, y es probable que Estados Unidos sea el próximo objetivo.
Según un nuevo análisis de Proofpoint, los ciberdelicuentes detrás de FluBot (también conocido como Cabassous) se han diversificado más allá de España para apuntar al Reino Unido, Alemania, Hungría, Italia y Polonia. Se ha observado que solo la campaña en inglés hace uso de más de 700 dominios únicos, infectando alrededor de 7.000 dispositivos en el Reino Unido.
Además, se encontraron mensajes SMS en alemán e inglés enviados a usuarios estadounidenses desde Europa, que Proofpoint sospecha podría ser el resultado de la propagación de malware a través de listas de contactos almacenadas en teléfonos comprometidos. Aún no se ha detectado una campaña concertada dirigida a Estados Unidos.
FluBot, una incipiente entrada en el panorama de los troyanos bancarios, comenzó sus operaciones, con campañas que aprovechaban el malware que infectaba a más de 60.000 usuarios en España, según un análisis publicado en marzo de 2021 por Proactive Defense Against Future Threats (PRODAFT). Se dice que ha acumulado más de 11 millones de números de teléfono de los dispositivos, lo que representa el 25% de la población total en España.
Distribuidos principalmente a través de phishing por SMS (también conocido como smishing), los mensajes se hacen pasar por un servicio de entrega como FedEx, DHL y Correos, aparentemente notificando a los usuarios sobre el estado de entrega de su paquete o envío junto con un enlace para rastrear el pedido, que, cuando se hace clic, descarga aplicaciones maliciosas que tienen el módulo FluBot encriptado incrustado dentro de ellas.
"FluBot es un nuevo malware bancario de Android que utiliza ataques de superposición para realizar phishing de aplicaciones basadas en webview", señalaron los investigadores. "El malware se dirige principalmente a aplicaciones de banca móvil y criptomonedas, pero también recopila una amplia gama de datos de usuario de todas las aplicaciones instaladas en un dispositivo determinado".
Tras la instalación, FluBot no solo rastrea las aplicaciones iniciadas en el dispositivo, sino que también superpone las páginas de inicio de sesión de las aplicaciones financieras con variantes maliciosas especialmente diseñadas desde un servidor controlado por el atacante, diseñado con el objetivo de secuestrar las credenciales, además de recuperar listas de contactos, mensajes, llamadas y notificaciones al abusar del Servicio de Accesibilidad de Android.
Aunque las autoridades españolas arrestaron el mes pasado a cuatro criminales sospechosos de estar detrás de la campaña FluBot, las infecciones han aumentado, al mismo tiempo que se expanden los países seleccionados para incluir a Japón, Noruega, Suecia, Finlandia, Dinamarca y los Países Bajos en un corto período de tiempo, según los últimos conocimientos de ThreatFabric.
El aumento de la actividad de FluBot ha llevado a la Oficina Federal de Seguridad de la Información (BSI) de Alemania y al Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido a emitir alertas de ataques en curso a través de mensajes SMS fraudulentos que engañan a los usuarios para que instalen "software espía que roba contraseñas y otros datos sensibles".
"Es probable que FluBot continúe propagándose a un ritmo bastante rápido, moviéndose metódicamente de un país a otro a través de un esfuerzo consciente de los actores de la amenaza", dijeron los investigadores de Proofpoint. "Siempre que haya usuarios dispuestos a confiar en un mensaje SMS inesperado y seguir las instrucciones e indicaciones proporcionadas por los actores de la amenaza, tendrán éxito campañas como estas".
