Nueva versión del troyano FluBot se hace pasar por aplicación de Flash Player

En una reciente campaña detectada en Polonia y dirigida a usuarios de ese país se ha observado la utilización de una versión reciente del malware FluBot con algunas características destacables. Lo que no ha cambiado ha sido el método de propagación usado y las tácticas empleadas por los delincuentes para propagar esta amenaza, ya que vemos como los mensajes SMS siguen siendo utilizados como gancho.

Según los ejemplos proporcionados por el equipo de respuesta ante incidentes de ciberseguridad del sector financiero polaco, en estos mensajes se hace mención a unos vídeos que han sido enviados supuestamente por el usuario que recibe los SMS. Este es el cebo que emplean los delincuentes en esta ocasión para conseguir llamar la atención de sus víctimas y lograr que accedan a la web preparada para esta campaña.

Una vez en esa web, se solicita la descarga de una aplicación a la cual han nombrado como FlashPlayer20.apk. Sorprende que en pleno 2022 se siga utilizando Flash Player como gancho, puesto que es un complemento que ya ha sido completamente abandonado por su desarrollador pero que algunos usuarios siguen asociando con la reproducción de contenido multimedia. De esta forma, si el usuario descarga y ejecuta la aplicación maliciosa podremos ver que se instala como una app más en el sistema, aunque con una finalidad ilícita.

En esta ocasión, estamos ante la versión 5.2 de FluBot, que habría aparecido hace tan solo unos días y que incluye algunas novedades interesantes además de seguir manteniendo algunas de las características que han hecho popular a esta amenaza, tales como obtener el listado completo de los contactos de la víctima, aprovechar el servicio de Accesibilidad de Android para superponer pantallas y capturar la introducción de credenciales o interceptar mensajes SMS con los códigos de verificación enviados por las entidades bancarias para confirmar la realización de transferencias.

En cuanto a las novedades destacables que se encuentran a partir de la versión 5.0 de FluBot, investigadores de F5 han encontrado que los delincuentes ahora usan 30 dominios de nivel superior en lugar de los 3 usados previamente para sus algoritmos de generación de dominio (DGA). Además, han actualizado los resolutores DNS que permiten la actualización de la semilla DGA de forma remota y también el envío de mensajes SMS más largos usando funciones de división en múltiples partes.

FluBot y su evolución

Aunque esta campaña reciente se haya detectado en Polonia, no sería de extrañar que los delincuentes la extendiesen a otros países (incluyendo España), tal y como han hecho en ocasiones anteriores. Recordemos que, desde el principio, nuestro país ha sido uno de los favoritos de los delincuentes para propagar este malware.

Desde la primera campaña detectada y dirigida a usuarios españoles a mediados de diciembre de 2020, las campañas de FluBot y otros imitadores no dejaron de producirse, especialmente durante la primera mitad de 2021. Especial importancia cobraron las campañas que suplantaban a servicios de logística y envío de paquetes de todo tipo, las cuales consiguieron infectar los dispositivos de decenas de miles de usuarios en España.

Sin embargo, en la segunda mitad de 2021 los delincuentes cambiaron de estrategia y empezamos a ver otras campañas en las que se nos avisaba de un correo de voz o, paradójicamente, se nos mostraba una alerta acerca de una infección con FluBot. Si bien estas no llegaron a tener el éxito de las anteriores, el número de víctimas conseguidas por los delincuentes debe de haber sido lo suficientemente importante como para que sigan desarrollando esta amenaza y la actualicen con nuevas versiones.

Además, no debemos dejar de observar que el método utilizado para la suplantación de las entidades bancarias está bastante conseguido, por lo que es muy probable que aquellos usuarios que resulten infectados no sospechen nada al ver la pantalla superpuesta que pide las credenciales de acceso sobre la original de la aplicación de banca online, ya que los delincuentes han tratado de imitar el estilo de las entidades bancarias suplantadas.

Tampoco debemos olvidar que FluBot también puede robar credenciales de acceso a otras aplicaciones como las carteras de criptomonedas o incluso los accesos a redes sociales y correo electrónico. Esto la convierte en una amenaza de lo más versátil y de la que conviene estar convenientemente protegido.

Conclusión

Que los delincuentes sigan desarrollando una amenaza como FluBot significa que aún pueden conseguir un número importante de víctimas con ella, por lo que conviene estar alerta, evitando pulsar sobre enlaces incrustados en mensajes SMS, emails o chats, bloqueando la descarga de ficheros desconocidos y contando con una solución de seguridad adaptada a las necesidades de los usuarios de Android y que permita la detección y eliminación de este tipo de amenazas.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.