Nuevo troyano bancario para Android se propaga mediante SMS

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de Proofpoint han compartido detalles sobre una campaña de malware en curso dirigida a los usuarios de Android.

Específicamente, han detectado un nuevo troyano bancario Android identificado como "FluBot". Brevemente, el malware aprovecha el phishing de SMS para propagar su infección.

El ataque comienza cuando una víctima potencial recibe un SMS sobre la entrega de algún paquete. Para agregar peso al SMS, el remitente se hace pasar por un servicio de entrega de confianza como DHL o FedEx. El mensaje también incluye un enlace en el que la víctima debe hacer clic para ver el estado del pedido. Sin embargo, al hacer clic en este enlace, se descarga el malware en el dispositivo.

Una vez descargado e instalado, el malware inicia sus actividades maliciosas previstas. Si bien funciona predominantemente como un troyano bancario, ya que tiene como objetivo robar datos financieros (incluidas las carteras criptográficas) mediante la visualización de pantallas superpuestas. Sin embargo, también roba otra información de las víctimas a través de la misma técnica. Sin embargo, antes de comenzar sus actividades, solicita permiso a la víctima para acceder al Servicio de Accesibilidad y Notificaciones de Android. Esto debería servir como una alerta roja, ya que hacer clic en una URL simple e inofensiva desde un SMS no requiere tales permisos. Una vez que el usuario otorga los permisos, el malware se ejecuta.

Spyware, Infostealer y más...

Con respecto a sus funcionalidades maliciosas, los investigadores declararon en su publicación de blog:

"Una vez que se les otorgan los permisos, ambas versiones de FluBot actúan como spyware, spammer SMS y ladrones de tarjetas de crédito y credenciales bancarias, todo en uno. Al llegar al servidor C2, el malware envía la lista de contactos de la víctima y recupera un mensaje de phishing SMS y un número para continuar su propagación utilizando el dispositivo de la víctima. La funcionalidad adicional (Figura 3) incluye interceptar mensajes SMS, mensajes USSD del operador de telecomunicaciones y notificaciones de aplicaciones, abrir páginas en el navegador de la víctima, deshabilitar Google Play Protect para evitar su detección, abrir una conexión SOCKS y crear un proxy SOCKS para la comunicación según en la solicitud C2 y desinstalar cualquier aplicación según las instrucciones de C2."

Para garantizar que la campaña continúe, el malware utiliza el algoritmo de generación de dominios (DGA) para conectarse con C&C. Esto permite a los atacantes cambiar de dominio si los anteriores se eliminan en cualquier momento.

Malware activo en Europa y es probable que se extienda más

Al explicar más sobre este troyano bancario, Proofpoint explicó que el malware apareció por primera vez en línea a fines de 2020. Los investigadores de ThreatFabric luego lo identificaron como "Cabassous".

Poco después, las autoridades españolas arrestaron a cuatro por supuestamente distribuir FluBot, poniendo así fin a las campañas de malware. Sin embargo, ha resurgido en línea, una vez más dirigida a las regiones europeas.

Actualmente, el malware se dirige activamente a Alemania, Hungría, el Reino Unido, Italia, España y Polonia, con el potencial de extenderse también a los EE. UU.

Tras las amenazas persistentes, el NCSC del Reino Unido y el BSI de Alemania han emitido alertas para los usuarios pidiéndoles que desconfíen de este malware.

Fuente:
Latest Hacking News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
--------------------------------------------------------------
Una frase para inspirarle:

"Eres más valiente de lo que cree. Más fuerte de lo que parece y más inteligente de lo que imagina"