FluBot, un malware violento camuflado en un inofensivo SMS.

FluBot es un troyano

Así es, el FluBot es un caballo de troya o troyano, es decir un malware que se hace pasar por un programa o aplicación legítima pero que, en realidad, está creado para otorgar acceso remoto al dispositivo de la víctima. 

Este nuevo malware llega a los usuarios desprevenidos a través de un SMS normal, bastante bien redactado y muy personalizado, ya que incluye el nombre de la persona. Eso podría hacerte creer que efectivamente es una empresa legítima la que te contacta.

Es probable que en este punto ya hayas escuchado sobre “la estafa de FedEx” sin saber que se refiere al FluBot. Así que vamos a entender cómo se comporta este nuevo virus. 

Cómo funciona FluBot

Mientras más sepas de esta nueva amenaza, más preparado estarás para protegerte. ¡Toma nota!

1. Un SMS gatilla el ataque

El ataque empieza con un mensaje de texto que llega al número de la potencial víctima, indicando que tiene un paquete pendiente para recoger o para ser entregado y que, para continuar el proceso, debe proporcionar algunos datos o descargarse una aplicación. 

El SMS contiene un enlace de descarga que, al abrirlo, instala el FluBot sin que la víctima lo note. Esta modalidad de smishing es una de las tantas que usan los ciberdelincuentes para llevar a cabo estafas telefónicas. ¡Y esta es de las más potentes que se han visto hasta el momento!

2. Instalando FedEx.apk

Este es el nombre que recibe la aplicación que se instala y que infectará el dispositivo. Pesa entre 3 y 6 megas dependiendo de la versión. La primera señal de alerta es un aviso de Google que informa al usuario que la aplicación puede ser maliciosa. De hecho, la corporación ya la ha registrado como dañina en Google Play Protect, un servicio que alerta al usuario sobre este tipo de posibles malwares.

Una vez instalada, la aplicación solicita permisos como usualmente lo hacen todas las aplicaciones. Sin embargo, también solicitará permiso para “tomar el control total” del dispositivo. ¡Definitivamente es una pésima señal!

Pantalla, mensajes, llamadas, fotos, videos, documentos, credenciales, correos electrónicos y lista de contactos quedan a completa disposición del atacante. Desde ese momento, puede manejar el dispositivo de manera remota, hacer pulsaciones, concederse permisos… es decir, acceder a absolutamente toda la información sensible almacenada en el aparato. ¡Game over!

3. Asalto a cuentas bancarias

Hasta aquí hemos visto que la aplicación es demasiado invasiva y peligrosa. Lo peor viene después de haber tomado el control del dispositivo. FluBot también puede mostrar pantallas falsas de login. Entonces, si el usuario intenta ingresar a aplicaciones bancarias, el ciberdelincuente obtendría fácilmente las credenciales de acceso. 

Por si fuera poco, FluBot también puede interceptar y bloquear notificaciones. ¿Sabes lo que esto quiere decir? ¡Cualquier notificación de transacción de tu banco u otra plataforma digital, desaparecerá antes que puedas verla!

De esta manera, el ciberdelincuente tendrá libre acceso a cuentas bancarias de la víctima.

4. Propagación del ataque

En una siguiente etapa, la víctima se convierte en una herramienta efectiva para propagar el malware. El FluBot se apropia de la libreta de contactos y puede enviarles mensajes directamente desde el dispositivo de la víctima, suplantando su identidad, o fingir ser una empresa de paquetería desde otro número telefónico. De esta manera, se amplifica la capacidad de ataque. 

Según PRODAFT, una empresa de ciberseguridad suiza que ha analizado a profundidad el malware, este ya ha obtenido y almacenado los números móviles del 25% de la población española.