El troyano bancario Flubot, que realiza ataques en dispositivos Android, ha empezado en las últimas horas a suplantar la identidad de la empresa española de envíos MRW, utilizando los SMS como medio para propagar una ‘app’ maliciosa entre los usuarios europeos.
Flubot envía un SMS a las víctimas, que reciben un mensaje desde un móvil indicando un problema con un envío y un enlace para hacer un seguimiento del mismo. Si el usuario pincha el enlace y descarga la aplicación recomendada por la web de destino, entonces una ‘app’ maliciosa acabará dentro del teléfono.
Esta información está recopilada por la compañía eslovaca de seguridad informática ESET, que ha lanzado una alerta sobre el nuevo gancho de Flubot por considerar al troyano «una de las amenazas más peligrosas a las que puede enfrentarse un usuario de Android actualmente».
La web de destino del SMS tiene un aspecto fidedigno al de MRW, incluyendo su logo, una imagen de fondo relacionada con ella, un botón para descargar la ‘app’ maliciosa e instrucciones para descargarlas e instalarla.
ESET detalla que en este proceso han comprometido una web legítima, «una táctica habitual en este tipo de campañas». Y matiza que solo redirige a las víctimas a ella si detecta que el navegador pertenece a un dispositivo móvil Android.
En el caso de acceder con un dispositivo iOS, la potencial víctima verá una web con premios falsos de Amazon, que pretende obtener los datos de la tarjeta de crédito del usuario.
Si la víctima de un dispositivo Android sigue el proceso del Flubot y hace clic para descargar la ‘app’ maliciosa, esta le pedirá habilitar la opción de descargar aplicaciones de origen desconocido y se solicitará el permiso de ‘Accesibilidad’.
Este último es clave, dado que permite a los ciberdelincuentes realizar acciones como desactivar el sistema de revisión de aplicaciones de Google, Play protect; establecerse como la aplicación por defecto de gestión de los SMS, lo cual puede provocar que tengan control sobre los mensajes de verificación de las cuentas bancarias; y mandar nuevos mensajes a la lista de contactos.
Asimismo, permite realizar un ataque con la superposición de pantallas (‘overlay’), con el objetivo de robar las credenciales de acceso a una ‘app’ bancaria. Los ciberdelincuentes tienen acceso a las cuentas bancarias de la víctima en el momento que lo desean y pueden interceptar códigos de identificación emitidos por los bancos.
En caso de infección, ESET aconseja avisar a la entidad bancaria para evitar potenciales transferencias de dinero y, posteriormente desinstalar la ‘app’ maliciosa siguiendo guías profesionales al respecto, disponibles en la red.
Además, es conveniente instalar una ‘app’ de seguridad para impedir que esto vuelva a suceder y hacer caso a cuatro claves: ignorar los SMS desconocidos y no solicitados, revisar las webs a las que dirigen los enlaces, no descargar aplicaciones externas a Google Play y no otorgar permisos innecesarios a las aplicaciones.