En marzo del año pasado saltaba la noticia de que los Mossos d’Esquadra, tras la pertinente investigación, habían detenido a cuatro hombres con edades comprendidas entre los 19 y los 27 años. Las pesquisas de dicha investigación apuntaban a esas personas como los principales responsables de Flubot, un troyano bancario que, desgraciadamente, se hizo de lo más popular entre finales de 2020 y principio de 2021 por una campaña masiva de smsishing en la que se impostaba la identidad de Correos.
Aunque tras las detenciones de marzo de 2021 podríamos haber pensado que Flubot ya era solo un recuerdo del pasado, la realidad nos negó tal punto, pues tan solo un mes después se detectaron nuevas acciones con el mismo, lo que nos hizo entender que los detenidos formaban parte del grupo que opera dicho malware pero que no eran sus únicos responsables, o bien que éstos solo eran clientes de los operadores de Flubot. Sea como fuere, era una mala noticia, algo desgraciadamente habitual cuando hablamos de ciberseguridad.
MS Recomienda
Desde entonces Flubot se ha mantenido activo, y según informa Bitdefender se ha detectado una nueva campaña de este malware dirigida a dispositivos Android e iOS, basada de nuevo en el smishing y que centra sus ataques en países europeos principalmente de Alemania, Reino Unido y Rumanía. En cuanto a nuestro país, los dispositivos afectados suponen el 4% del total de los alcanzados durante esta nueva campaña.
Esto no es algo nuevo. La detención de marzo del año pasado nos hizo pensar que el origen de Flubot se encontraba en nuestro país, pues sus primeras campañas golpearon principalmente en nuestro país, pero no tardaron mucho en dar el salto para ampliar su alcance a toda Europa. Desde entonces este ha sido su principal mercado, algo que el informe elaborado por Bitdefender nos confirma que sigue formando parte del «plan de negocio» de sus operadores.
Como en otras ocasiones, y como mencionaba anteriormente, Flubot recurre al smishing, es decir, a mensajes SMS fraudulentos que incluyen siempre un enlace que el usuario debe descargar para, supuestamente, pagar una tasa pendiente de Correos, confirmar algún dato pendiente para un envío, etcétera. El enlace apunta al instalador de una app que simula ser la oficial del servicio impostado en el mensaje, pero en realidad se trata del malware.
Si el usuario de Android cae en la trampa, descarga e instala la app, ésta solicitará múltiples permisos que, de ser confirmados, otorgarán al troyano acceso completo al dispositivo, momento que los ciberdelincuentes aprovecharán para empezar a exfiltrar del smartphone la información relacionada con cuentas bancarias, tarjetas de crédito, etcétera. Adicionalmente, Flubot también hace uso de los permisos recibidos previamente para dificultar que los usuarios afectados puedan desinstalar el malware, intentando garantizar su persistencia.
Bitdefender también recuerda, y este punto me parece especialmente importante, que aunque los usuarios de iOS no se ven afectados por este malware, debido a las férreas limitaciones de seguridad planteadas por Apple, aun pueden ser víctimas de smishing, pues los mensajes pueden incluir enlaces a páginas web impostadas.
Las recomendaciones son muy claras y evidentes: igual que hemos aprendido a desconfiar de cualquier correo electrónico sospechoso, debemos aplicar exactamente los mismos criterios y filtros de seguridad en lo referido a los mensajes SMS. La instalación de apps (en el caso de Android) desde fuentes distintas de las tiendas oficiales de Google, Samsung y otras entidades fiables debe limitarse o incluso impedirse, y el uso de alguna solución de seguridad en los dispositivos es, sin duda, una opción más que recomendable.
Fuente obtenida de: https://www.muyseguridad.net/2022/05/30/flubot-vuelve-a-la-carga/