El malware para Android conocido como FluBot continúa causando problemas en algunos países europeos y se especula con la posibilidad de que los actores que operan detrás de esta amenaza pueden decidir apuntar a otras zonas geográficas. A continuación, te contamos por qué debes estar atento, cómo funciona FluBot y cómo se puede eliminar este troyano de tu dispositivo Android.

Vale la pena señalar que los siguientes consejos te ayudarán a mantenerte a salvo de otras familias de malware que también apuntan a usuarios de Android. En los últimos días, ciberdelincuentes han comenzado a lanzar campañas que apuntan a usuarios europeos con TeaBot (también conocido como Anatsa o Toddler), una familia de malware para Android que utiliza exactamente la misma técnica que FluBot para propagarse y engañar a los usuarios para que entreguen datos confidenciales. Los productos de ESET detectan FluBot y TeaBot como variantes de la familia Android/TrojanDropper.Agent.

Cómo actúa FluBot

Si el atacante logra engañar a una víctima a través de su campaña maliciosa el estafador obtendrá acceso al dispositivo Android por completo. Esto incluye la posibilidad de robar números de tarjetas de crédito y credenciales de acceso a los servicios de banca online, también conocidos como banca electrónica o homebanking. Para evitar que sea eliminado, el atacante implementa mecanismos para detener que se active la protección incorporada que ofrece el sistema operativo Android y evita que se instalen algunas soluciones de seguridad de terceros; algo que probablemente muchos buscarán realizar para intentar eliminar el software malicioso de sus equipos.

La víctima primero recibe un mensaje vía SMS en nombre de una reconocida marca de logística, como FedEx, DHL, UPS y Correos (en España). El mensaje invitará al usuario a hacer clic en un enlace para descargar e instalar una aplicación haciéndose pasar por la misma marca de logística que se menciona en SMS, pero que en realidad es maliciosa y tiene el malware FluBot embebido en su interior. A continuación, se muestra un ejemplo del mensaje SMS y el mensaje posterior para instalar la aplicación:

Imagen 1. Mensaje SMS que llega a la víctima que contiene un enlace. Fuente de la imagen:  Daniel López y MalwareHunterTeam a través de Ontinet.

Imagen 2. Suplantando la identidad de una empresa de logística (en este caso UPS) se invita al usuario a descargar una supuesta app de seguimiento. Fuente de la imagen:  Daniel López y MalwareHunterTeam a través de Ontinet.

Imagen 3. Archivo que se instala en el dispositivo de la víctima y que contiene FluBot.

Una vez instalado y concedido los permisos solicitados, FluBot libera una plétora de funcionalidades, incluido el envío de mensajes no deseados, el robo de números de tarjetas de crédito y credenciales bancarias, y software para espiar (spyware). La lista de contactos se extrae del dispositivo y se envía a servidores bajo el control de los atacantes, proporcionándoles información personal adicional que les permitirá lanzar nuevos ataques contra otras potenciales víctimas. El malware es capaz también de interceptar los mensajes SMS y las notificaciones que envían las compañías de telecomunicaciones, puede abrir páginas en el navegador y puede hacer uso de la superposición de pantallas en el teléfono para robar las credenciales que ingresa la víctima.

Esta aplicación maliciosa también deshabilita Google Play Protect para evitar la detección por parte de la seguridad incorporada del sistema operativo. Además, debido a la cantidad de permisos otorgados, el actor de amenazas puede bloquear la instalación de muchas soluciones antimalware de terceros.

Cómo eliminar FluBot de tu dispositivo Android

Es posible que sea necesario eliminar manualmente el malware de un dispositivo comprometido. Mi colega, Lukas Stefanko, creó un breve video con instrucciones útiles acerca de cómo eliminar esta y cualquier otra aplicación maliciosa en Android:

Si recibes un mensaje SMS inesperado con un enlace en el que se puede hacer clic, te recomendamos que te abstengas de hacer clic y que elimines el mensaje. En caso de haber descargado e instalado el malware en un dispositivo y haber realizado alguna actividad bancaria o similar después de instalar la falsa aplicación, comunícate inmediatamente con tu banco o con las organizaciones correspondientes para bloquear el acceso a tus cuentas y, en caso de ser necesario, cambia las contraseñas, recordando hacerlas únicas y seguras.

Ya sea que este malware llegue a América Latina o a Estados Unidos en una cantidad significativa o no, las capacidades que tiene y el daño que causó en Europa deberían servir como llamado de atención para que todos los usuarios de Android estén atentos y para que instalen un software de seguridad en sus dispositivos que les permita prevenir que aplicaciones tan dañinas nunca lleguen a sus dispositivos.