Troyano bancario para Android copia las técnicas de FluBot suplantando a empresas de logística

En el mundo de los ciberdelincuentes también existen los imitadores y quienes tratan de aprovechar el éxito que tiene algunas amenazas para, imitándolas, tratar de conseguir sus propias víctimas. Por ese motivo y viendo las sucesivas campañas protagonizadas por el malware FluBot usando supuestos envíos de paquetes como gancho, no nos extraña que amenazas como la que vamos a analizar hoy copien tanto su vector de ataque como su funcionamiento.

SMS con aviso de entrega

Si hay algo que ha caracterizado a este tipo de amenazas durante los últimos meses, ha sido la utilización de los mensajes SMS como vector de propagación. De esta forma y haciéndose pasar por empresas de logística que envían avisos con supuestas entregas de paquetes, los delincuentes despiertan la curiosidad de los usuarios, haciendo que muchos de ellos pulsen sobre el enlace proporcionado. Recientemente, el investigador español Daniel Lopez se ha hecho eco de una nueva campaña protagonizada por un malware de este tipo.

Como viene siendo habitual en las campañas protagonizadas por este tipo de malware, los enlaces proporcionados pertenecen a webs legítimas que han sido comprometidas por los atacantes y que estos utilizan para alojar los instaladores APK de Android que los usuarios descargan en sus dispositivos. A pesar de tratarse de webs legítimas, también pueden ser detectadas por nuestra solución de seguridad, alertándonos de que el enlace al que tratamos de acceder tiene contenido potencialmente peligroso.

En el caso de acceder al enlace donde se encuentra la aplicación maliciosa desde el navegador de un dispositivo Android, observaremos la familiar pantalla que se ha estado usando por los desarrolladores del malware FluBot desde finales de 2020, en esta ocasión usando la plantilla de la empresa DHL. No obstante, en este caso el malware es distinto y han copiado esta plantilla porque saben que ha estado funcionando muy bien, tratando de repetir el éxito obtenido por FluBot.

En el caso de conectarnos desde un dispositivo iOS como un iPhone, se nos mostrará otra web en la que se nos invita a participar en un sorteo para ganar diferentes premios, con la única finalidad de robar datos personales y relacionados con la tarjeta de crédito. Sin embargo, si accedemos desde el navegador de un dispositivo Android y pulsamos sobre el botón que nos indica “Descargar aplicación”, se procederá a la descarga del instalador APK.

Instalación del malware

Tal y como ya hemos revisado en campañas anteriores, este tipo de aplicaciones maliciosas no se instalan automáticamente en el dispositivo Android, puesto que no han sido descargadas desde una tienda oficial como Google Play. Para poder instalarla se necesita activar primero la opción de “Instalar aplicaciones desconocidas”, algo que viene desactivado por defecto.

Seguidamente, la aplicación solicita que se le conceda el permiso especial de accesibilidad, algo que permite a los delincuentes, por ejemplo, desactivar Play Protect (el sistema de revisión de aplicaciones de Google), establecerse como la aplicación por defecto para gestionar SMS o realizar la superposición de pantallas para engañar a los usuarios haciéndoles creer que están introduciendo sus credenciales en la aplicación legítima de su banco.

Si revisamos los permisos que adquiere la aplicación una vez instalada, observamos como algunos de estos coincide con los solicitados por el malware FluBot, especialmente aquellos relacionados con la recepción y envío de mensajes SMS. El primero de esos permisos permite interceptar los mensajes usados por muchas entidades bancarias, como el doble factor de autenticación a la hora de realizar transferencias de dinero, mientras que el segundo permite el envío de mensajes para propagar los enlaces desde los que se descarga esta amenaza.

Al analizar los archivos que componen el instalador de este malware encontramos que los delincuentes se han molestado en usar los iconos de la empresa de logística suplantada, algo que han venido haciendo tanto el malware FluBot como sus imitadores desde hace meses.

Además, vemos algunos ficheros curiosos como los que simulan los tonos de llamada, conexión o línea ocupada, además de otros archivos que tendrían relación con ataques anteriores, concretamente a entidades bancarias de Turquía.

Preguntado al respecto, Lukas Stefanko, el investigador de ESET especializado en el análisis de malware dirigido a dispositivos Android, nos confirma que no estamos ante otra muestra de FluBot, sino ante otra familia de troyanos bancarios cuyo instalador es detectado por las soluciones de seguridad de ESET como el troyano Android/TrojanDropper.Agent.HVR. Al parecer, la actividad de este troyano habría comenzado a principios de este 2021, tal y como informó en su momento, el investigador Alberto Segura en el blog de Hispasec.

Conclusión

Que otras familias de malware dirigidos a dispositivos Android copien las técnicas, tácticas y procedimientos de FluBot demuestra el impacto que ha tenido esta amenaza durante los últimos meses. Las víctimas de esta amenaza se cuentan por decenas de miles, y por ese motivo no debemos bajar la guardia, evitar descargar aplicaciones desde fuentes que no sean de confianza y contar con una solución de seguridad que pueda detectar y eliminar este tipo de amenazas.

Josep Albors

EL MÓVIL, UNO DE LOS MEDIOS FAVORITOS DE LA CIBERDELINCUENCIA