El software espía FluBot para Android es eliminado en una operación global

Una operación policial internacional que involucró a 11 países culminó con el desmantelamiento de una notoria amenaza de malware móvil llamada FluBot .

"Este malware de Android se ha propagado agresivamente a través de SMS, robando contraseñas, datos bancarios en línea y otra información confidencial de los teléfonos inteligentes infectados en todo el mundo", dijo Europol en un comunicado.

La "investigación compleja" incluyó a autoridades de Australia, Bélgica, Finlandia, Hungría, Irlanda, Rumania, España, Suecia, Suiza, los Países Bajos y los EE. UU.

FluBot , también llamado Cabassous, surgió en la naturaleza en diciembre de 2020, enmascarando su intención insidiosa detrás de la apariencia de aplicaciones de seguimiento de paquetes aparentemente inocuas como FedEx, DHL y Correos.

Se propaga principalmente a través de mensajes de smishing (también conocido como phishing basado en SMS) que engañan a los destinatarios desprevenidos para que hagan clic en un enlace para descargar las aplicaciones con malware.


Una vez lanzada, la aplicación procedería a solicitar acceso al Servicio de Accesibilidad de Android para desviar sigilosamente las credenciales de la cuenta bancaria y otra información confidencial almacenada en las aplicaciones de criptomonedas.

Para empeorar las cosas, el malware aprovechó su acceso a los contactos almacenados en el dispositivo infectado para propagar aún más la infección mediante el envío de mensajes que contenían enlaces al malware FluBot.

Las campañas de FluBot, aunque principalmente son un malware de Android, también han evolucionado para dirigirse a los usuarios de iOS en los últimos meses, en los que los usuarios que intentan acceder a los enlaces infectados son redirigidos a sitios de phishing y estafas de suscripción.

"Esta infraestructura de FluBot ahora está bajo el control de las fuerzas del orden, lo que detiene la espiral destructiva", señaló la agencia, y agregó que la policía holandesa orquestó la incautación el mes pasado.

Según el informe de panorama de amenazas móviles de ThreatFabric para el primer semestre de 2022, FluBot fue el segundo troyano bancario más activo detrás de Hydra, representando el 20,9 % de las muestras observadas entre enero y mayo.


"ThreatFabric ha trabajado de cerca con las fuerzas del orden en el caso", dijo el fundador y director ejecutivo Han Sahin a The Hacker News.

"Es una gran victoria teniendo en cuenta que los actores de amenazas de FluBot tienen o tuvieron una de las estrategias más resistentes en lo que respecta a la distribución y el alojamiento de sus backends con DNS-tunneling a través de servicios públicos DNS-over-HTTPS . Esta resiliencia de back-end en C2 hosting y fronting es lo que hace que los esfuerzos de la unidad de crimen digital holandesa sean muy impresionantes".

La compañía holandesa de ciberseguridad también señaló que las muestras de malware únicas desarrolladas por los operadores de FluBot se detuvieron después del 19 de mayo, coincidiendo con el desmantelamiento, lo que ralentizó efectivamente sus "esfuerzos de desparasitación".

"El impacto general [del desmantelamiento] en el panorama de amenazas móviles es limitado, ya que FluBot no es el troyano bancario de Android más fuerte", agregó Sahin. "Exo, Anatsa, Gustuff, esos son un verdadero problema para cualquier usuario. El poder detrás de FluBot siempre ha sido [sus] números de infección".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta