El troyano bancario FluBot regresa con una falsa alerta de seguridad como gancho
Los troyanos bancarios siguen siendo una de las amenazas dirigidas a usuarios más prevalentes en nuestro país. Entre estas amenazas encontramos a FluBot, troyano que se ha hecho un nombre debido a las continuas campañas que viene realizando desde hace meses centradas en usuarios de móviles Android, y que ahora utiliza una nueva plantilla para llamar la atención de sus víctimas.
Alerta de seguridad
Desde que descubrimos las primeras versiones del troyano bancario FluBot dirigidas a usuarios españoles de Android a finales de 2020 hasta el momento de escribir estas líneas, esta amenaza ha utilizado varias plantillas para tratar de engañar a los usuarios. Primero se hizo pasar por empresas de paquetería y logística como Correos, Fedex, DHL o MRW (entre otras) para, seguidamente, avisar de un supuesto mensaje de voz pendiente de escucha.
Ahora, los delincuentes detrás de estas campañas han empezado a probar una nueva estrategia que, paradójicamente, utiliza el miedo a ser infectado por este malware como cebo para conseguir nuevas víctimas. Recientemente, el CERT de Nueva Zelanda alertaba de una nueva web de descarga de este malware que tenía el siguiente aspecto.
A esta web se llega tras pulsar sobre el enlace contenido en un sms y resulta curiosos ver cómo los responsables de propagar FluBot están usando su nombre para generar esta falsa alerta y convencer a quien lo lea de que necesita instalar una actualización de seguridad. De momento no se han detectado casos en España usando esta plantilla pero, tal y como hemos comprobado en ocasiones anteriores, puede que sea solo cuestión de tiempo.
Robo de dinero desde cuentas bancarias
Debemos recordar que solo por recibir el sms o incluso pulsar el enlace no se infecta el dispositivo Android. Sin embargo, si seguimos las instrucciones e instalamos la supuesta actualización de seguridad, nuestro dispositivo habrá sido comprometido y los delincuentes tratarán de robarnos el dinero que tengamos guardado en nuestra cuenta bancaria.
Además, el funcionamiento de FluBot y de sus múltiples imitadores no ha cambiado demasiado, ya que siguen confiando en que el usuario instalará la aplicación maliciosa con permisos de Accesibilidad, lo que permite al malware, entre otras cosas, obtener permisos adicionales para interceptar los SMS de verificación enviados por algunas entidades bancarias, acceso a los contactos para seguir propagándose o la superposición de pantallas fraudulentas sobre la app bancaria legítima para robar las credenciales de acceso a la banca online.
Por si fuera poco, este tipo de malware también es capaz de robar información relacionada con criptomonedas, cuentas de correo o redes sociales, por lo que la pérdida de dinero no es el único peligro al que se enfrentan sus víctimas.
Conclusión
Flubot y otros códigos maliciosos similares siguen evolucionando para tratar de seguir consiguiendo nueva víctimas, y por ese motivo debemos permanecer alerta para reconocer estos engaños, contando siempre que sea posible con una solución de seguridad que permita reconocer y eliminar estas amenazas antes de que causen daños.
Related Posts
-
Oleadas de correos propagan los troyanos bancarios Grandoreiro y Mekotio en España
-
Vulnerabilidad 0-day en VirtualBox permite la ejecución de código en el sistema anfitrión
-
Los troyanos bancarios Mekotio y Grandoreiro regresan de la mano con nuevas campañas dirigidas a España
-
Avisos de vencimiento de facturas para propagar nuevas muestras del troyano bancario Grandoreiro
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.