El troyano FluBot se está extendiendo cada vez más por España

  • Endpoint

malware movil 2

FluBot aparece como un mensaje para la entrega de paquetes, propagándose a través de mensajes SMS a los contactos de un dispositivo Android infectado. Se han identificado 1,3 millones de IPs utilizadas por los dispositivos infectados, el 61% de ellas ubicadas en España y Alemania.

Recomendados: 

Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

Nuevas reglas de seguridad para aplicaciones web y API Leer

Visto por primera vez a principios de 2020, FluBot es un troyano bancario utilizado para robar datos financieros, de contactos, SMS y otros tipos de datos privados. Sus operadores han descubierto una variedad de medios creativos para distribuir el malware, evolucionando constantemente sus tácticas de ingeniería social y métodos de distribución para alimentar el continuo crecimiento y expansión de este troyano. Pues bien, BitSight ha estado recopilando datos de telemetría de ataques de FluBot desde marzo de 2021, y en total ha identificado 1,3 millones de IPs utilizadas por los dispositivos Android infectados, de las que el 61% están ubicadas en España y Alemania. Además, han rastreado un aumento de IPs a lo largo del tiempo, lo que probablemente indica un aumento de los dispositivos infectados.

Otra de las observaciones de BitSight sobre FluBot se centra en su ubicación geográfica, principalmente se encuentra en Europa, concretamente en España, Alemania e Italia (74%), pero también en Australia (7%). Esto parece coincidir con informes recientes que sugieren que los operadores de Flubot se dirigen específicamente a diferentes regiones o países. Sin embargo, también puede ser una función de cómo se propaga FluBot. Es lógico que la mayoría de los contactos de la víctima sean personas de la misma región o país. Por tanto, la infección regional puede no ser intencionada en sí misma, sino una consecuencia del diseño del malware.

Normalmente, FluBot aparece como un mensaje para la entrega de paquetes. El malware se propaga habitualmente a través de mensajes SMS a los contactos de un dispositivo infectado, así como a los contactos descargados del servidor C2 de FluBot. Una vez en el dispositivo, proporciona a los autores de las amenazas el control remoto total del msimo, incluida la capacidad de enviar, interceptar y ocultar mensajes SMS y notificaciones; extraer datos confidenciales del usuario, como contactos, contraseñas e información personal; y llevar a cabo ataques de superposición.

Aunque los operadores de FluBot no parecen dirigirse específicamente a las organizaciones en lugar de a los individuos, sigue siendo fundamental que los profesionales de la seguridad tomen las medidas adecuadas para mitigar el riesgo. Una formación eficaz de los empleados puede evitar por completo la infección por FluBot. También debe considerarse esencial un software antimalware para prevenir, detectar y eliminar las infecciones de FluBot. Las soluciones de gestión de dispositivos móviles (MDM) que pueden restringir la capacidad de instalar aplicaciones también pueden ser adecuadas para algunas organizaciones.