El fin de Flash Player está cerca pero aún sigue usándose como gancho para propagar amenazas

A pesar de que el próximo 31 de diciembre Adobe abandonará definitivamente a Flash Player, los delincuentes siguen aprovechando la imagen de este veterano complemento para sus campañas maliciosas, especialmente las dirigidas a smartphones Android. Y es que, a pesar de que ya son pocos los sitios webs que siguen necesitando de Flash Player, su influencia ha sido tal que muchos usuarios siguen pensando que este complemento forma parte intrínseca de Internet.

Auge y declive

Adobe Flash Player fue en su época dorada un complemento prácticamente imprescindible para poder navegar por Internet y poder visualizar o interactuar con el contenido que nos ofrecían las páginas web. Durante años, si se quería ver un vídeo, jugar a algún juego desde una web o cualquier otra actividad similar, era casi necesario disponer de Flash Player.

Esta popularidad fue aprovechada por los delincuentes, quienes no tardaron en usar su nombre o aprovecharse de alguna de las muchas vulnerabilidades que se fueron descubriendo a lo largo de los años. Durante varios estos agujeros de seguridad se utilizaron de forma masiva para propagar todo tipo de amenazas, ya fueran amenazas más tradicionales como el ransomware u otras más avanzadas y empleados por grupos APT.

Precisamente esta inseguridad casi permanente hizo que se empezase a dejar de utilizar Flash Player. La carta de Steve Jobs en 2010 donde opinaba abiertamente sobre Flash Player fue solo uno de los múltiples clavos que empezaron a ponerse al ataud de este, por aquel entonces, popular complemento. Desde entonces, su uso se ha ido abandonando progresivamente a favor de otras alternativas como HTML5 y era cuestión de tiempo que terminase desapareciendo.

Uso como gancho

A pesar de que Adobe Flash Player tiene (literalmente) los días contados todavía es habitual ver como sigue usando su imagen y nombre como gancho en algunas campañas dirigidas a usuarios de dispositivos móviles Android. En los últimos meses hemos visto varios ejemplos de esto y, a un par de semanas de que termine este 2020, siguen realizándose campañas con esta temática.

Tal y como se observa en la imagen, el usuario accede mediante un enlace que se puede enviar por varios métodos (SMS, mensajería instantánea, redes sociales, etc.) a una web donde se le ofrece la descarga de la supuesta última versión disponible de este complemento. Además, se ofrece información sobre Flash Player y se acompaña esta web con logos de varias empresas para darle una apariencia más legítima. Lo cierto es que esta misma plantilla se ha venido reutilizando desde hace meses y los delincuentes solo cambian periódicamente el dominio en el que la alojan.

Si disponemos de una solución de seguridad en nuestro dispositivo como ESET Mobile Security para Android es posible detectar este tipo de webs fraudulentas, avisándonos con una alerta como la que vemos en la imagen anterior. Un aviso de este tipo debería ser suficiente para que la gran mayoría de los usuarios desistiese de acceder a una web de ese tipo.

Actividad maliciosa y detección

Este tipo de estrategia suele utilizarse por los delincuentes cuando quieren distribuir amenazas que se encargan de robar información. Un ejemplo claro son los troyanos bancarios y es que, si revisamos los permisos solicitados por el malware asociado a esta y otras campañas vemos como se pide acceso a los mensajes SMS usados por muchas entidades como segundo factor de autenticación.

Otras amenazas como el spyware también pueden aprovechar estos permisos solicitados al instalarse la APK maliciosa para robar información del dispositivo de la víctima como, por ejemplo, su lista de contactos. Las posibilidades son amplias aunque, como ya hemos indicado, durante los últimos meses los delincuentes se han centrado en robar credenciales de banca online.

Y es que, a pesar de ser un complemento que podríamos considerar prácticamente en desuso, al haber convivido tantos años con él, muchos usuarios lo consideran como algo fundamental para el correcto funcionamiento de su navegador, incluso en dispositivos móviles. Por eso, los delincuentes lo han seguido usando aun estando a punto de ser abandonad definitivamente, algo que nos recuerda el investigador MalwareHunterTeam.

La muestra analizada es detectada por ESET como el troyano Android/Spy.Banker.AOJ.

Conclusión

Este tipo de campañas, como muchas otras, son fácilmente identificables por aquellos usuarios veteranos, que hayan visto o sufrido casos similares. Sin embargo, si no queremos dejarlo todo en manos del sentido común (por desgracia, el menos común de los sentidos) es una buena idea contar con una solución de seguridad que nos avise de cuando estamos intentando acceder a una web maliciosa o descargar un malware en nuestro dispositivo.

Josep Albors

“Tu envío está en camino” App maliciosa suplantando a Correos y dirigida a usuarios españoles de Android