Europol desmantela infraestructura del troyano bancario FluBot

Un operativo internacional que movilizó a más de una decena de países, en su mayoría europeos, llevó al desmantelamiento de FluBot, uno de los programas maliciosos que más rápido se propagan hasta la fecha en los móviles de Android y que infecta el teléfono a través de SMS falsos para robar contraseñas y datos personales.

Se han desconectado a diez mil víctimas de la red FluBot y evitado el envió de más de 6 500 000 mensajes de texto no deseados.

FluBot fue descubierto por primera vez en diciembre de 2020, ganando fuerza en 2021, y que se ha estado propagando de forma agresiva a través de SMS, robando contraseñas, datos bancarios en línea, y otra información confidencial de los teléfonos inteligentes (smartphones) infectados con el programa.

Las víctimas que usaban teléfonos con un sistema operativo Android de Google recibían un SMS que pedía a los usuarios pinchar en un enlace e instalar una aplicación para monitorear la entrega de un paquete o escuchar falsos mensajes de voz, explicó un portavoz de la AFP a Europol.

El malware se instalaba a través de mensajes SMS falsos. Estos pedían a los usuarios instalar una aplicación o escuchar un mensaje de voz falso. Una vez instalada la app, que en realidad era Flubot, se solicitaban permisos de accesibilidad. En caso de obtenerlos, los ciberdelincuentes podían acceder a todo tipo de información ya que es como si estuvieran viendo la pantalla del móvil a distancia y recibiendo todas las pulsaciones que hiciéramos.

FluBot en España

En España este malware tuvo su apogeo de infecciones durante el mes de marzo de 2021. Una estafa con la que se estimó que había capturado más de 11 millones de números de teléfono, solo en España. Esto es, un 25% de la población española.

Los investigadores de PRODAFT dijeron anteriormente que el acceso a los contactos de un usuario permitió al grupo recopilar más de 11 millones de números de teléfono en España, lo que representa alrededor del 25% de la población. Si no se tomaba ninguna medida, teorizaron que el grupo detrás de FluBot podría recopilar todos los números de teléfono en España en 6 meses.

Este malware comprometió “una gran cantidad de dispositivos” en todo el mundo, incluidos incidentes significativos en España y Finlandia, debido, entre otras cosas, a su capacidad para acceder a los contactos de un teléfono inteligente infectado, según Europol.

La infraestructura ha sido desmantelada a principios de mayo por la policía neerlandesa, lo que dejó inactivado este programa que se instala a través de un mensaje de texto que pedía a los usuarios que hicieran clic en un enlace e instalaran una aplicación para rastrear la entrega de un paquete o escuchar un mensaje de voz falso.

Una vez instalada la aplicación en cuestión, solicitaría permisos de accesibilidad y los piratas informáticos usarían este acceso para robar credenciales de aplicaciones bancarias o detalles de cuentas de criptomonedas y deshabilitar los mecanismos de seguridad integrados.

Entre los consejos de Europol para detectar si una aplicación puede tratarse de un programa malicioso, incluye tocar una aplicación para asegurarse de que se abre como tal, o intentar desinstalarla para asegurarse de que no aparece un “mensaje de error”.

“Si cree que una aplicación puede ser un programa malicioso, restablezca el teléfono a la configuración de fábrica”, indican.

Los países implicados en la investigación fueron Australia, Bélgica, Finlandia, Hungría, Irlanda, Rumanía, España, Suecia, Suiza y los Países Bajos, así como el servicio secreto de Estados Unidos, coordinados por el Centro de Ciberdelincuencia de Europol.

La investigación continúa, ya que está pendiente de analizar quienes estaban detrás y quién se ha beneficiado de una campaña de malware a nivel global, aunque varios miembros de la banda de Flubot fueron arrestados en Barcelona el pasado marzo.