Nueva versión del troyano FluBot se hace pasar por aplicación de Flash Player

A pesar de que llevamos algún tiempo sin observar campañas de propagación masiva del troyano FluBot en España, esto no significa que los delincuentes detrás de esta amenazas ya no la estén utilizando más. Al contrario, FluBot ha seguido evolucionando y buscando nuevas víctimas en varios países, tal y como vamos a comprobar a continuación.

Suplantando a Flash Player

En una reciente campaña detectada en Polonia y dirigida a usuarios de ese país se ha observado la utilización de una versión reciente del malware FluBot con algunas características destacables. Lo que no ha cambiado ha sido el método de propagación usado y las tácticas empleadas por los delincuentes para propagar esta amenaza, ya que vemos como los mensajes SMS siguen siendo utilizados como gancho y conseguir que quien los reciba pulse sobre el enlace que adjuntan.

Según los ejemplos proporcionados por el equipo de respuesta ante incidentes de ciberseguridad del sector financiero polaco, en estos mensajes se hace mención a unos vídeos que han sido enviados supuestamente por el usuario que recibe los SMS. Este es el cebo que emplean los delincuentes en esta ocasión para conseguir llamar la atención de sus víctimas y lograr que accedan a la web preparada para esta campaña.

Una vez en esa web, se solicita la descarga de una aplicación a la cual han nombrado como FlashPlayer20.apk. Sorprende que en pleno 2022 se siga utilizando Flash Player como gancho, puesto que es un complemento que ya ha sido completamente abandonado por su desarrollador pero que algunos usuarios siguen asociando con la reproducción de contenido multimedia. De esta forma, si el usuario descarga y ejecuta la aplicación maliciosa podremos ver que se instala como una app más en el sistema, aunque con una finalidad maliciosa.

En esta ocasión, estamos ante la versión 5.2 de FluBot, que habría aparecido hace tan solo unos días y que incluye algunas novedades interesantes además de seguir manteniendo algunas de las características que han hecho popular a esta amenaza, tales como obtener el listado completo de los contactos de la víctima, aprovechar el servicio de Accesibilidad de Android para superponer pantallas y capturar la introducción de credenciales o interceptar mensajes SMS con los códigos de verificación enviados por las entidades bancarias para confirmar la realización de transferencias.

En cuanto a las novedades destacables que se encuentran a partir de la versión 5.0 de FluBot, investigadores de F5 han encontrado que los delincuentes ahora usan 30 dominios de nivel superior en lugar de los 3 usados previamente para sus algoritmos de generación de dominio (DGA). Además, han actualizado los resolutores DNS, permiten la actualización de la semilla DGA de forma remota y también el envío de mensajes SMS más largos usando funciones de división en múltiples partes.

FluBot y su evolución

Aunque esta campaña reciente se haya detectado en Polonia, no sería de extrañar que los delincuentes la extendiesen a otros países (incluyendo España), tal y como han hecho en ocasiones anteriores. Recordemos que, desde el principio, nuestro país ha sido uno de los favoritos de los delincuentes para propagar este malware y otros delincuentes han hecho lo mismo con sus propias variantes. Desde la primera campaña detectada y dirigida a usuarios españoles a mediados de diciembre de 2020, las campañas de FluBot y otros imitadores no dejaron de producirse, especialmente durante la primera mitad de 2021. Especial importancia cobraron las campañas que suplantaban a servicios de logística y envío de paquetes de todo tipo, las cuales consiguieron infectar los dispositivos de decenas de miles de usuarios en España.

Sin embargo, en la segunda mitad de 2021 los delincuentes cambiaron de estrategia y empezamos a ver otras campañas en las que se nos avisaba de un correo de voz o, paradójicamente, se nos mostraba una alerta acerca de una infección con FluBot. Si bien estas campañas no llegaron a tener el éxito de las anteriores, el número de víctimas conseguidas por los delincuentes debe de haber sido lo suficientemente importante como para que sigan desarrollando esta amenaza y la actualicen con nuevas versiones.

Además, no debemos dejar de observar que el método utilizado para la suplantación de las entidades bancarias está bastante conseguido, por lo que es muy probable que aquellos usuarios que resulten infectados no sospechen nada al ver la pantalla superpuesta que pide las credenciales de acceso sobre la original de la aplicación de banca online, ya que los delincuentes han tratado de imitar el estilo de las entidades bancarias suplantadas.

Tampoco debemos olvidar que FluBot también puede robar credenciales de acceso a otras aplicaciones como las carteras de criptomonedas o incluso los accesos a redes sociales y correo electrónico. Esto la convierte en una amenaza de lo más versátil y de la que conviene estar convenientemente protegido.

Conclusión

Que los delincuentes sigan desarrollando una amenaza como FluBot significa que aún pueden conseguir un número importante de víctimas con ella, por lo que conviene estar alerta, evitando pulsar sobre enlaces incrustados en mensajes SMS, emails o chats, bloqueando la descarga de ficheros desconocidos y contando con una solución de seguridad adaptada a las necesidades de los usuarios de Android y que permite la detección y eliminación de este tipo de amenazas.

Josep Albors

Coches conectados y los problemas de privacidad derivados