Saltar al contenido

El malware FluBot para Android ahora se dirige a los bancos del Reino Unido

El malware FluBot para Android ahora se dirige a los bancos del Reino Unido

FluBot ha estado construyendo una comunidad de teléfonos Android comprometidos en el Reino Unido desde abril y en las últimas 24 horas ha comenzado a monetizarlos enviando superposiciones a los bancos del Reino Unido.

FluBot apareció por primera vez en 2020 y estaba destinado principalmente a los bancos españoles, pero recientemente ha ampliado su alcance, afectando a todos los bancos australianos, alemanes y polacos en las últimas semanas. Los bancos del Reino Unido están ahora firmemente en la mira, con HSBC y Santander en primer lugar, seguidos poco después por Lloyds y Halifax.

Así es como funciona FluBot

FluBot se propaga a través de mensajes SMS, a menudo pretendiendo ser de una empresa de entrega, notificando al destinatario de una próxima entrega e invitándolo a rastrear el paquete haciendo clic en un enlace en el mensaje. En otros casos, el SMS puede simular ser una notificación de correo de voz con un enlace que el destinatario debe seguir para escuchar el mensaje. Este enlace lleva a la víctima a una página de bloqueo alojada en un servidor web comprometido desde donde se solicita al usuario que instale el malware en su dispositivo móvil.

Una página de cebo falsa de Virgin Mobile que pide al usuario que use una 'aplicación de correo de voz'

Una página falsa de cebo de Virgin Mobile que solicita al usuario que descargue una «aplicación de correo de voz»

Una vez instalado, el malware solicita al usuario varios permisos, incluida la capacidad de suscribirse en exceso a otras aplicaciones y leer la lista de contactos del usuario, que se utiliza para encontrar nuevas personas a las que propagarse.

El malware contacta regularmente con los servidores de Comando y Control (C2) con una lista de las aplicaciones en el dispositivo del usuario. Los servidores responden con el subconjunto de ellos a los que se dirige desde el cual descargan superposiciones disponibles que se parecen a las pantallas de inicio de sesión de las aplicaciones reales. Luego muestra esto al abrir las aplicaciones y atrae al usuario a ingresar los detalles de su cuenta, que se envían de vuelta a los servidores C2 para ser utilizados con saña.

Superposición FluBot para HSBC

Superposición FluBot para HSBC

Superposición de FluBot para Santander

Superposición de FluBot para Santander

Superposición FluBot para Lloyds

Superposición FluBot para Lloyds

Superposición de FluBot para Halifax

Superposición de FluBot para Halifax

Contramedidas

Los usuarios de Android pueden protegerse contra FluBot con la aplicación de Android Netcraft, que bloquea todas las conexiones a los sitios de bloqueo y, por lo tanto, evita que el malware se instale en primer lugar. Los bancos y las redes celulares pueden proteger a sus clientes con una serie de contramedidas de Netcraft.

Source link