¡Atención! El malware bancario para Android FluBot se propaga rápidamente por toda Europa

Programa malicioso para Android FluBot

¡Atención, usuarios de Android! Un malware bancario capaz de robar información confidencial se está «propagando rápidamente» por Europa, y es probable que EE. UU. sea el próximo objetivo.

Según un nuevo análisis de Proofpoint, los actores de amenazas detrás de FluBot (también conocido como Cabasso) se han expandido más allá de España para apuntar al Reino Unido, Alemania, Hungría, Italia y Polonia. Se ha observado que solo la campaña en inglés hace uso de más de 700 dominios únicos, infectando alrededor de 7,000 dispositivos en el Reino Unido.

Además, se encontraron mensajes SMS en alemán e inglés enviados a usuarios de EE. UU. desde Europa, que Proofpoint sospecha que podrían ser el resultado de la propagación de malware a través de listas de contactos almacenadas en teléfonos comprometidos. Todavía no se ha detectado una campaña concertada dirigida a EE.UU.

FluBot, una entrada incipiente en el panorama de los troyanos bancarios, comenzó sus operaciones a fines del año pasado, con campañas que aprovechaban el malware que infectaba a más de 60,000 usuarios en España, según un análisis publicado por Proactive Defense Against Future Threats (PRODAFT) en marzo de 2021. Se dice que acumuló más de 11 millones de números de teléfono de los dispositivos, lo que representa el 25% de la población total en España.

Distribuidos principalmente a través de phishing por SMS (también conocido como smishing), los mensajes se hacen pasar por un servicio de entrega como FedEx, DHL y Correos, aparentemente notificando a los usuarios sobre el estado de entrega de su paquete o envío junto con un enlace para rastrear el pedido, que, cuando se hace clic, descarga aplicaciones maliciosas que tienen incrustado el módulo FluBot encriptado.

Programa malicioso para Android FluBot

«FluBot es un nuevo malware bancario para Android que utiliza ataques superpuestos para realizar phishing de aplicaciones basadas en vistas web», señalaron los investigadores. «El malware se dirige principalmente a aplicaciones de banca móvil y criptomonedas, pero también recopila una amplia gama de datos de usuario de todas las aplicaciones instaladas en un dispositivo determinado».

Tras la instalación, FluBot no solo rastrea las aplicaciones iniciadas en el dispositivo, sino que también superpone páginas de inicio de sesión de aplicaciones financieras con variantes maliciosas especialmente diseñadas desde un servidor controlado por atacantes, diseñado con el objetivo de secuestrar credenciales, además de recuperar listas de contactos, mensajes , llamadas y notificaciones al abusar del Servicio de accesibilidad de Android.

Aunque las autoridades españolas arrestaron a cuatro delincuentes sospechosos de estar detrás de la campaña FluBot el mes pasado, las infecciones han aumentado desde entonces, al tiempo que expandieron los países objetivo para incluir a Japón, Noruega, Suecia, Finlandia, Dinamarca y los Países Bajos en un corto período de tiempo. según los últimos conocimientos de ThreatFabric.

El aumento de la actividad de FluBot ha llevado a la Oficina Federal para la Seguridad de la Información (BSI) de Alemania y al Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido a emitir alertas que advierten sobre ataques en curso a través de mensajes SMS fraudulentos que engañan a los usuarios para que instalen «software espía que roba contraseñas y otros datos confidenciales».

«Es probable que FluBot continúe propagándose a un ritmo bastante rápido, moviéndose metódicamente de un país a otro a través de un esfuerzo consciente por parte de los actores de la amenaza», dijeron los investigadores de Proofpoint. «Mientras haya usuarios dispuestos a confiar en un mensaje SMS inesperado y seguir las instrucciones y avisos proporcionados por los actores de amenazas, las campañas como estas tendrán éxito».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática