La rápida propagación del malware FluBot podría llegar pronto a los teléfonos de EE. UU.



El malware FluBot para Android se ha extendido por varios países europeos a través de una estafa de entrega de paquetes SMS.

Un tipo de malware de Android conocido como FluBot se ha extendido por varios países europeos y pronto podría aterrizar en los teléfonos inteligentes de Estados Unidos, advierten los investigadores de seguridad.

Los operadores detrás de FluBot inicialmente apuntaron a dispositivos en España, que constituían la mayoría de los ataques cuando se detectó el malware a fines del año pasado. Ahora, sus campañas se han expandido para afectar a los teléfonos Android en el Reino Unido, Alemania, Hungría, Italia y Polonia, según descubrieron los investigadores de Proofpoint a través de los datos propios de la empresa y la inteligencia de código abierto.

La campaña en inglés de FluBot, que se ha dirigido casi por completo a teléfonos en el Reino Unido, ha utilizado más de 700 dominios únicos. La campaña del Reino Unido comenzó con mensajes de Alemania estos fueron rápidamente reemplazados por mensajes de remitentes del Reino Unido. Los mensajes en alemán se desactivaron una vez que se establecieron los mensajes del Reino Unido, lo que indica un esfuerzo consciente para difundir FluBot de un país a otro. Pronto, los investigadores creen que también podría extenderse a los EE. UU.

«Actualmente, Proofpoint ha visto cómo se envían mensajes SMS en alemán e inglés a usuarios de EE. UU. Desde Europa, lo que puede ser el resultado del envío de malware a todas las personas en las listas de contactos de los dispositivos infectados», dice Sherrod DeGrippo, director senior de investigación de amenazas. y detección en Proofpoint. Esto es comparable a cómo FluBot comenzó a extenderse en el Reino Unido, agrega, y dado que ya es suitable con el inglés, agregar a EE. UU. A la lista de objetivos no sería difícil para los atacantes.

Dicho esto, los investigadores aún no están viendo un esfuerzo concertado para apuntar a los teléfonos de EE. UU. Como lo están viendo actualmente en el Reino Unido.

Una infección FluBot comienza cuando la víctima recibe un mensaje SMS que se hace pasar por un servicio de entrega por ejemplo, FedEx, DHL y Correos. Los mensajes varían, pero se adhieren al tema de la entrega. Algunos textos en inglés han dicho: «La fecha de entrega es el 24/04. Siga el viaje en» o «Hola. Tenemos (1) paquete pendiente a su nombre. Programe la entrega ahora:»

Cada mensaje malicioso contiene un enlace. Si se hace clic, se solicita a la víctima que descargue una aplicación móvil diseñada con el logotipo del servicio de entrega como icono. La aplicación utiliza archivos APK de apariencia legítima que contienen FluBot encriptado e incrustado en su inside, investigadores dijo en una publicación de blog. Una vez instalada la aplicación, se solicita a la víctima que proporcione a FluBot acceso completo a su dispositivo.

Con estos permisos, ambas versiones de FluBot en uso pueden actuar como program espía, un remitente de spam de SMS y un ladrón de tarjetas de crédito y credenciales bancarias. También puede interceptar mensajes de texto y mensajes USSD del operador de telecomunicaciones abrir páginas en el navegador de la víctima, desactivar Google Enjoy Secure y desinstale aplicaciones como lo indique el servidor de comando y command (C2).

DeGrippo dice que las capacidades del malware indican que «el actor de la amenaza probablemente esté motivado financieramente y quiera continuar difundiendo el malware con ese propósito».

Para propagarse, FluBot se pone en contacto con el servidor de comando y command para enviar la lista de contactos de la víctima. Recibe un mensaje de phishing SMS y un número para seguir difundiendo utilizando el teléfono de destino.

Nuevas versiones, nuevas tácticas

Los investigadores de Proofpoint realizaron ingeniería inversa de muestras de las versiones 3.7 y 4. de FluBot. Aprendieron que si bien ambos tienen la misma funcionalidad, difieren en elementos de su ofuscación y comunicación C2.

FluBot utiliza un algoritmo de generación de dominios (DGA) para conectarse al servidor C2, creando una lista de dominios para intentar acceder hasta encontrar uno accesible. Esta táctica permite a los atacantes cambiar rápidamente los dominios que usan para las comunicaciones C2 en caso de que uno sea bloqueado o eliminado. FluBot versión 4. adapta este proceso utilizando el conjunto de idiomas del teléfono Android de la víctima.

«El aspecto más interesante de este malware es su evolución al agregar un número a la semilla utilizada por DGA para su comunicación C2», explica. «En la última versión del malware, agrega un número basado en el conjunto de idiomas del dispositivo de la víctima. Esto es lo que también hace que FluBot sea diferente de otras amenazas móviles que hemos investigado».

Hasta ahora, no hay indicios de que los operadores de FluBot estén apuntando a un subconjunto de usuarios de Android. En este momento, dice DeGrippo, la amenaza está generalizada y los volúmenes de campaña son grandes. Los investigadores creen que seguirá propagándose a un ritmo rápido entre los países.

¿Cómo saber si te golpean? Si alguien descarga una de las aplicaciones falsas que suplantan a FedEx, DHL o Correos, puede hacer clic en el icono en Configuración para ver los detalles de la aplicación. Cuando intentan deslizarse hacia abajo en la pantalla, eso puede indicar un problema, señala, porque la aplicación maliciosa no le permitirá ver los detalles. Los investigadores aconsejan a los usuarios que desconfíen de los mensajes de texto inesperados, eviten instalar aplicaciones fuera de las tiendas de aplicaciones legítimas y verifiquen que los permisos solicitados tengan sentido cuando se instalan nuevas aplicaciones.

«Los SMS podrían ser un vector de ataque practical a largo plazo para la distribución de malware», dice DeGrippo sobre este tipo de amenaza móvil. Android tiene sus controles y protecciones, como los controles basados ​​en permisos en el proceso de instalación de la aplicación que describen las capacidades del computer software antes de la instalación. Estas, además de otras características de seguridad de Android que rodean la instalación de APK desconocidos, han reducido la superficie de ataque de los teléfonos móviles.

Aún así, los atacantes siempre están buscando oportunidades para introducir program malicioso en los dispositivos de destino, y el éxito de FluBot probablemente inspirará a los imitadores, continúa. Como señala el equipo de investigación en su publicación de blog site, siempre que las personas estén dispuestas a confiar en los mensajes SMS inesperados y sigan las instrucciones de los atacantes, campañas como estas continuarán extendiéndose.

Kelly Sheridan es la editora de private de Dim Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first