martes, 11 de mayo de 2021

Avast detecta diariamente decenas de SMS de phishing relacionados con la entrega de paquetes

Se trata de una campaña de malware dirigida a los usuarios de móviles de todo el mundo cuyo objetivo es robar información personal

Ciudad de México, México, 11 de mayo de 2021 – En las últimas semanas, los usuarios de dispositivos móviles en varios países han recibido mensajes SMS vinculados a un malware bancario llamado “FluBot”. Esta amenaza pretende ser de una empresa de mensajería y pide a los usuarios que instalen una aplicación de seguimiento para rastrear el estado del paquete, pero de hecho se utiliza para robar credenciales y otros datos personales. Avast, que detecta y bloquea esta amenaza protegiendo a sus usuarios de Android, alerta sobre nuevas muestras de FluBot que llegan diariamente a través de su plataforma de inteligencia de amenazas móviles apklab.io.

 

Según una investigación reciente, FluBot ya ha infectado hasta ahora 60.000 dispositivos y el número total de números de teléfono recopilados por los atacantes se estimó en 11 millones a finales de febrero/principios de marzo.

 

“Los primeros ataques de FluBot se reportaron hace semanas y todavía vemos decenas de nuevas versiones de muestra evolucionando todos los días”, dijo Ondrej David, Líder del equipo de Análisis de Malware en Avast. “Por el momento, los principales objetivos de la campaña atacante son España, Italia, Alemania, Hungría, Polonia y el Reino Unido. Pero existe la posibilidad de que el alcance de la operación se amplíe para apuntar a otros países en un futuro próximo. Si bien las soluciones de seguridad bloquean estos ataques, la rápida continuación de esta campaña demuestra que tiene éxito, por lo que instamos a las personas a tener mucho cuidado con cualquier SMS entrante que reciban, especialmente en lo que respecta a los servicios de entrega.”

 

Cómo funciona FluBot

FluBot es un ejemplo de una campaña de malware basada en SMS. Se propaga enviando mensajes SMS que afirman que el destinatario tiene un paquete por ser entregado y les insta a descargar una aplicación de seguimiento utilizando el enlace incluido. Si el destinatario hace clic en el enlace, se le dirige a un sitio que ofrece descargar la aplicación. La aplicación es un malware que, cuando se instala, roba la información de contacto de la víctima y la carga en un servidor remoto. Posteriormente, el servidor utiliza esta información para enviar mensajes adicionales y distribuir aún más los mensajes SMS maliciosos a esos contactos.

 

La aplicación maliciosa utiliza un componente de Android conocido como Accesibilidad para monitorear lo que sucede en el dispositivo y tomar el control de él. Esto le permite mostrar superposiciones de ventanas de alta prioridad, entre otras cosas. En otras palabras, el malware puede mostrar algo sobre cualquier cosa que esté actualmente en la pantalla. Por ejemplo, un portal bancario falso que se muestra sobre la actividad de una aplicación bancaria legítima. Si el usuario ingresa sus credenciales en esa pantalla superpuesta, pueden ser robadas.

 

Este componente conocido como Accesibilidad también es explotado por el malware como un mecanismo de autodefensa para cancelar cualquier intento de desinstalación por parte de los usuarios afectados, lo que dificulta su eliminación de los dispositivos infectados.

 

“Lo que hace que este malware sea particularmente exitoso es que se disfraza de servicios de entrega postal/paquetería, usando texto como 'Su paquete está llegando, descargue la aplicación para rastrearlo' o 'Perdió la entrega de su paquete, descargue la aplicación para rastrearlo', de la que muchos usuarios desprevenidos fácilmente serían víctimas. Especialmente en la situación actual en la que alguna forma de entrega a domicilio se ha convertido en el modo de operación estándar para muchas empresas durante la pandemia”, dijo Ondrej David.