Flubot, un troyano bancario Android que se propaga vía SMS con MRW como gancho

  • Endpoint

malware movil 2

Los mensajes redirigen a los usuarios a webs fraudulentas preparadas para tratar de convencer a los usuarios de la necesidad de descargar una aplicación para realizar el seguimiento de un pedido. El malware tiene a usuarios de varios países europeos como objetivo, incluida España.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Creación de aplicaciones seguras: recomendaciones para los servicios financieros Leer

ESET ha lanzado una alerta contra el troyano bancario Flubot, que está siendo utilizado en las últimas horas con MRW como gancho para tratar de conseguir nuevas víctimas. El malware ya tiene a usuarios de varios países europeos como objetivo, incluida España.

Esta amenaza, una de las más peligrosas a las que puede enfrentarse un usuario de Android, lleva protagonizando numerosas campañas desde que fue detectada por primera vez a mediados de diciembre pasado. En esta nueva campaña los delincuentes siguen utilizando el SMS como medio para propagar los enlaces que redirigen a los usuarios a las webs fraudulentas preparadas para tratar de convencer a los usuarios de la necesidad de descargar una aplicación para realizar el seguimiento de un pedido. Sin embargo, en esta ocasión a los delincuentes no les importa (al menos de momento) que teléfonos de diferentes países sean utilizados para el envío de estos mensajes.

Si la víctima pulsa sobre el enlace proporcionado en ese mensaje la web a la que le redirige trata de suplantar a MRW, con el logo de la empresa, una imagen de fondo relacionada con ella, el botón para descargar la app maliciosa y unas breves instrucciones que explican cómo instalarla. Para alojar esta web fraudulenta los criminales han vuelto a comprometer un sitio web legítimo. Si se accede a esa web desde un dispositivo iOS de Apple, lo que se muestra es una web con supuestos premios ofrecidos por Amazon y que lo único que pretenden es obtener los datos de la tarjeta de crédito.

Cuando se pulsa sobre el botón “Descargar aplicación” que en esa web empieza la descarga de esta app maliciosa, que los delincuentes han nombrado con el nombre de la empresa suplantada y un número que va cambiando, lo que les ayuda a identificar esta campaña. El proceso de instalación de esta app maliciosa sigue el mismo patrón que las versiones anteriores: precisa que el usuario active la opción de instalar aplicaciones desde orígenes desconocidos, y se solicita que se conceda el permiso de Accesibilidad a la app.

La obtención de este permiso permite a los delincuentes realizar ciertas acciones, como, por ejemplo, desactivar Play Protect, establecerse como la aplicación por defecto para gestionar SMS, lo que permite recibir los mensajes con los códigos de verificación para realizar transferencias bancarias y enviar nuevos mensajes a la lista de contactos de la víctima. Además, este permiso especial también permite realizar el ataque de superposición de pantallas para robar las credenciales cuando se maliciosa detecta que la víctima intenta acceder a una app bancaria.

Una vez obtenidos estos datos de acceso, los delincuentes pueden acceder cuando quieran a las cuentas bancarias de sus víctimas y, debido a que la aplicación maliciosa se encarga de gestionar los mensajes SMS, los delincuentes pueden interceptar los códigos de verificación enviados por las entidades bancarias para autorizar las transferencias de dinero.