Europol desmantela la infraestructura de FluBot, una de las amenazas para Android más activas de los últimos años

Siempre es una buena noticia anunciar el desmantelamiento de la infraestructura de algún malware o la detención de sus responsables. Además, si este malware ha tenido un impacto significativo en España, como es el caso de FluBot, los motivos para alegrarse se incrementan.

Europol desmantela la infraestructura de FluBot

Gracias a una operación internacional que involucró a 11 paises se ha conseguido desmantelar la infraestructura utilizada por los delincuentes detrás de FluBot, uno de los malware más activos durante los últimos dos años y que se propagaba rápidamente usando mensajes SMS. Su objetivo principal era el robo de credenciales bancarias, aunque también se han observado variantes robando credenciales de otros servicios online, así como también otro tipo de información personal.

Según informa Eruopol en su nota de prensa, la policía holandesa consiguió desmantelar la infraestructura usada por este malware el pasado mes de mayo provocando la desactivación de esta amenaza. Esto se consiguió tras una compleja investigación que involucró a las fuerzas policiales de 11 países, incluyendo la Policía Española en coordinación con el Centro europeo del Cibercrimen de Europol. Cabe destacar que la investigación sigue en curso para tratar de identificar a los responsables de esta campaña global de propagación de malware.

Un repaso a la evolución de FluBot

De este malware podemos hablar largo y tendido ya que, precisamente, este blog fue de los primeros que alertó de la aparición de FluBot a finales de 2020 (cuando aun no había sido bautizado con ese nombre), gracias al aviso proporcionado por el investigador MalwareHunterTeam. El 23 de diciembre de 2020 analizamos la primera campaña detectada y que iba dirigida usuarios españoles, y durante las semanas y meses siguientes seguimos revisando las diversas campañas que iban apareciendo, informando de las diversas plantillas que los delincuentes iban utilizando y que suplantaban a varias empresas de logística.

A pesar de que muchos medios no alertaron de la existencia de este malware hasta bastantes semanas después de su primera aparición, desde este blog seguimos informando de la expansión de FluBot por otros países, primero en Europa pero también en otras latitudes como Japón.

Una de las peculiaridades de FluBot es que usaba los dispositivos Android infectados para el envío de los mensajes SMS que utilizaba para propagarse, por lo que las víctimas no solo sufrían el robo de credenciales y dinero de sus cuentas bancarias sino, que en algunos casos tendrían que asumir costosa facturas provocadas por enviar mensajes SMS a teléfonos situados en países remotos.

Además, según algunas investigaciones como la realizada por la empresa Prodaft a principios de marzo de 2021, se estimó que, por aquel entonces, los delincuentes habrían conseguido infectar a unos 60.000 dispositivos y obtenido el número de teléfono de alrededor de 11 millones de usuarios. La gran mayoría de esas víctimas eran españolas, ya que los delincuentes se cebaron especialmente en nuestro país durante las primeras semanas antes de comenzar a expandirse por otros países.

Desde su aparición, FluBot no dejó de evolucionar y, además de añadir nuevos países a su lista de objetivos, ha utilizado nuevos ganchos además de los falsos envíos de paquetes. Como ejemplos de estos cambios de estrategia pudimos ver en España campañas como el envío de supuestos mensajes de voz, actualizaciones de Flash Player o alertas de seguridad que, paradójicamente, avisaban de la existencia de este. En ambos casos, la finalidad era la de conseguir que las víctimas descargasen e instalasen una aplicación maliciosa en su dispositivo.

A pesar del desmantelamiento de la infraestructura de FluBot el problema actual con este tipo de malware dirigido a dispositivos Android es que ahora existen muchas otras familias con una finalidad similar y que también han adoptado el malware como servicio. Esto permite incluso a delincuentes con pocos conocimientos técnicos preparar sus propias campañas e inundar de SMS maliciosos dispositivos en varias partes del mundo.

Conclusión

Aunque estemos ante una buena noticia no debemos bajar la guardia ya que existen muchas amenazas que siguen activas y que pueden afectar a nuestros dispositivos Android. Por ese motivo, además de ir con mucho cuidado a la hora de descargar aplicaciones (especialmente de aquellos sitios que no sean de confianza), es muy recomendable contar con una solución de seguridad en nuestro smartphone para detectar y bloquear esta y otras amenazas.

Josep Albors

Resumen de las amenazas más destacadas del pasado mes de mayo en España