El malware FluBot ya ha infectado 60.000 dispositivos Android

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar Seis razones para proteger Salesforce con una solución de terceros Leer

En las últimas semanas, los usuarios de dispositivos móviles de diferentes países han recibido mensajes SMS que fingen ser una empresa de reparto y piden a los usuarios que instalen una app de seguimiento para poder seguir el estado de su paquete, pero en realidad enmascaran un link a un troyano bancario denominado FluBot, que roba sus credenciales y otros datos personales. Según investigaciones recientes, FluBot ya ha infectado unos 60.000 dispositivos y se estima que el total de números de teléfono recopilados por los atacantes supera los 11 millones.

“Los primeros ataques de FluBot se notificaron hace semanas, pero todavía vemos decenas de nuevas versiones que evolucionan cada día”, ha señalado Ondrej David, jefe del Equipo de Análisis de Malware de Avast. “Por el momento, los objetivos principales de esta campaña son España, Italia, Alemania, Hungría, Polonia y el Reino Unido, pero existe la posibilidad de que el alcance de la operación se extienda a otros países en corto plazo. Aunque las soluciones de seguridad bloquean estos ataques, la rápida evolución de esta campaña demuestra que tiene éxito, por lo que instamos a los ciudadanos a tener mucho cuidado con cualquier SMS entrante que reciban, especialmente los que tienen que ver con servicios de entrega”.

La aplicación maliciosa utiliza un componente de Android, conocido como “Accessibility”, para supervisar lo que ocurre en el dispositivo y tomar el control del mismo. De esta forma, la app puede mostrar ventanas superpuestas de alta prioridad. En otras palabras, el malware puede mostrar cualquier cosa por encima de lo que sea que esté que esté actualmente en la pantalla. Por ejemplo, un portal bancario falso que aparece sobre una aplicación bancaria legítima. Si el usuario introduce sus credenciales en esa pantalla superpuesta, éstas pueden ser robadas.

Este mismo componente también es aprovechado por el malware como mecanismo de autodefensa para cancelar cualquier intento de desinstalación por parte de los usuarios afectados, lo que dificulta su eliminación.

"Lo que hace que este malware sea especialmente peligroso es que se disfraza de servicios de entrega de paquetería, utilizando mensajes del tipo ‘Su paquete está llegando, descargue la aplicación para hacer el seguimiento’ o ‘No ha podido recoger su paquete, descargue la aplicación para hacer el seguimiento’, de los que muchos usuarios desprevenidos pueden ser víctimas fácilmente. Esta situación es especialmente familiar en la situación actual, en la que cualquier forma de entrega a domicilio se ha convertido en el modo estándar de funcionamiento de muchas empresas durante la pandemia", ha indicado David.