Una operación liderada por Europol desmantela la infraestructura de FluBot
- Endpoint
El malware para Android se propagaba rápidamente usando mensajes SMS, siendo su objetivo principal el robo de credenciales bancarias. Los delincuentes se cebaron especialmente en nuestro país durante las primeras semanas antes de comenzar a expandirse por otros países.
Una operación internacional llevada a cabo conjuntamente por las fuerzas policiales de 11 países, incluyendo la Policía Española, en coordinación con el Centro europeo del Cibercrimen de Europol, ha conseguido desmantelar la infraestructura utilizada por los delincuentes detrás de FluBot, uno de los malware más activos durante los últimos dos años y que se propagaba rápidamente usando mensajes SMS. Su objetivo principal era el robo de credenciales bancarias, aunque también se han observado variantes robando credenciales de otros servicios online, así como también otro tipo de información personal.
Según informa Europol, la policía holandesa consiguió desmantelar la infraestructura usada por este malware el pasado mes de mayo provocando la desactivación de esta amenaza. Cabe destacar que la investigación sigue en curso para tratar de identificar a los responsables de esta campaña global de propagación de malware.
Evolución del malware
ESET fue de los primeros que alertó de la aparición de FluBot a finales de 2020, gracias al aviso proporcionado por el investigador MalwareHunterTeam. El 23 de diciembre de 2020 se detectó la primera campaña dirigida usuarios españoles, y durante las semanas y meses siguientes siguieron apareciendo diversas campañas en las que los delincuentes iban utilizando diversas plantillas que suplantaban a empresas de logística, primero en Europa, pero también en otras latitudes como Japón.
Una de las peculiaridades de FluBot es que usaba los dispositivos Android infectados para el envío de los mensajes SMS que utilizaba para propagarse, por lo que las víctimas no solo sufrían el robo de credenciales y dinero de sus cuentas bancarias sino, que en algunos casos tendrían que asumir costosa facturas provocadas por enviar mensajes SMS a teléfonos situados en países remotos.
Además, según algunas investigaciones como la realizada por la empresa Prodaft a principios de marzo de 2021, se estimó que, por aquel entonces, los delincuentes habrían conseguido infectar a unos 60.000 dispositivos y obtenido el número de teléfono de alrededor de 11 millones de usuarios. La gran mayoría de esas víctimas eran españolas, ya que los delincuentes se cebaron especialmente en nuestro país durante las primeras semanas antes de comenzar a expandirse por otros países.
Desde su aparición, FluBot no dejó de evolucionar y, además de añadir nuevos países a su lista de objetivos, ha utilizado nuevos ganchos además de los falsos envíos de paquetes. Como ejemplos de estos cambios de estrategia pudimos ver en España campañas como el envío de supuestos mensajes de voz, actualizaciones de Flash Player o alertas de seguridad que, paradójicamente, avisaban de la existencia de este. En ambos casos, la finalidad era la de conseguir que las víctimas descargasen e instalasen una aplicación maliciosa en su dispositivo.
A pesar del desmantelamiento de la infraestructura de FluBot el problema es que ahora existen muchas otras familias con una finalidad similar y que también han adoptado el malware como servicio. Esto permite incluso a delincuentes con pocos conocimientos técnicos preparar sus propias campañas e inundar de SMS maliciosos dispositivos en varias partes del mundo, señalan desde ESET.