FluBot es un troyano especialmente diseñado para dispositivos Android, que ha estado presente en múltiples campañas de SMS fraudulentos (smishing) desde 2020. Se estima que ha conseguido infectar a más de sesenta mil terminales y confeccionar una lista de unos once millones de números de teléfono. Los atacantes suplantan a empresas de mensajería o a Correos tratando de que el usuario se instale una aplicación maliciosa. Su objetivo final es robar información bancaria para acceder a las cuentas de la víctima.
En su versión más conocida, este troyano se camufla en falsos mensajes de seguimiento de envíos y paquetes. FluBot se propaga con rapidez a través de la agenda de contactos del dispositivo, una de las razones que, según los expertos, explica su éxito alcanzado un número tan alto de terminales y de números de teléfono. Asimismo, FluBot es capaz de robar información bancaria (datos de acceso a bancos, tarjetas de crédito, datos de pago…), información de los SMS o de la lista de contactos e, incluso, hacer llamadas una vez toma el control del dispositivo. Además, permite la ejecución de comandos remotos desde el centro de control del atacante y evita que el usuario pueda desinstalar la aplicación.
En las primeras oleadas la víctima recibía un SMS indicando la recepción de un paquete y se le ofrecía un enlace para hacer un seguimiento del mismo. Así, en el último año se han visto suplantaciones de identidad en SMS de empresas como Correos, DHL y FedEX. Una vez se hace clic en dicho enlace, el SMS redirige a la víctima a una página que simula ser el sitio oficial y solicita que descargue una aplicación para realizar el seguimiento. Esta ‘app’ se descarga directamente desde una tienda de aplicaciones maliciosa, distinta de la Google Play Store’, y en su interior lleva escondido el troyano.
Cómo desinfectar tu equipo
El código malicioso, una vez que el usuario instala la aplicación en su dispositivo, comienza a rastrear los identificadores de todas las aplicaciones que éste vaya iniciando y, además, tiene la capacidad de inyectar páginas superpuestas cuando detecte un inicio de sesión en una de las aplicaciones objetivo. De esta forma, el usuario piensa que está introduciendo las credenciales en la web original cuando, en realidad, las está enviando al servidor de mando y control (C2), gestionado por los operadores del código dañino. Así, los criminales se hacen con todos los datos necesarios para iniciar sesión en el espacio privado de bancos y métodos de pago.
De acuerdo con la Oficina de Seguridad del Internauta (OSI), se trata de un troyano que no permite la desinstalación manual por parte del usuario. Aunque en condiciones normales no es recomendable instalar aplicaciones que se encuentren fuera de markets oficiales, en este caso, para poder desinstalar el malware se recomienda utilizar una aplicación de código abierto creada por un equipo fiable de Android. La aplicación se encuentra alojada en GitHub, por lo que deberás habilitar dentro de tu dispositivo la opción de “instalar aplicaciones de fuentes desconocidas”. Esta opción se encuentra dentro de la sección de seguridad en ajustes del dispositivo (la ruta puede variar en función del modelo del móvil). Pero una vez instalada, es importante que recuerdes volver a deshabilitar esta opción.