Peligroso malware se está propagando a través de actualizaciones de seguridad falsas
El troyano bancario Flubot está utilizando una advertencia de seguridad falsa para intentar engañar a los usuarios de Android. El malware está haciéndoles pensar a los usuarios que ya han sido infectados … con Flubot.
Es una mentira, pero se convertirá en realidad si los destinatarios del mensaje de texto caen en la trampa y hacen clic en el botón “instalar actualización de seguridad”.
El mensaje malicioso dice que “Android ha detectado que tu dispositivo ha sido infectado”. Asimismo, el mensaje proporciona instrucciones sobre cómo instalar una actualización de seguridad que supuestamente eliminará el malware.
El viernes por la mañana, el equipo de respuesta a emergencias informáticas de Nueva Zelanda (CERT NZ) advirtió sobre el peligroso mensaje. Hacer clic para “instalar la actualización de seguridad” en realidad desencadena la infección de Flubot.
Mensajes de texto que cambian rápidamente
En un aviso publicado el viernes por la mañana, CERT NZ advirtió que el malware Flubot se está propagando a través de mensajes de texto en teléfonos Android. Los atacantes detrás de los mensajes están utilizando una redacción que cambia continuamente.
Cuando los ataques comenzaron a principios de la semana pasada, el mensaje malicioso aparentaba ser una alerta de una empresa de mensajería. Esta alerta pedía a los usuarios que hicieran clic en un enlace o descargaran una aplicación para obtener información sobre la entrega de un paquete.
Según los investigadores “el payload parecía reenviar el texto a través de la libreta de direcciones de los usuarios y también solicitaba información bancaria. No hace falta decir que en un momento en que todo el mundo utiliza los servicios de mensajería, esto tiene el potencial de causar mucho daño.
A partir del viernes, los ciberdelincuentes cambiaron la alerta por un malicioso que pretende que se han subido fotos del destinatario. El giro de la estafa más reciente es esta “actualización de seguridad” 100% falsa.
No obstante, aun debemos esperar más cambios de escritura creativa por parte de los ciberdelincuentes.
Dado que la redacción de estos textos ha cambiado en un breve período de tiempo, es probable que la redacción vuelva a cambiar. Debes tener cuidado con los mensajes de texto sospechosos que recibas, pidiéndote que hagas clic en un enlace.
En todos los casos, habrá un enlace pidiendo a los destinatarios que instalen una aplicación o una actualización de seguridad.
Los mensajes se envían desde teléfonos infectados con esta aplicación, por lo que no hay una forma sencilla de evitar que tu teléfono reciba estos mensajes.
Los iPhones no corren riesgos con Flubot
Flubot es solo un peligro para los dispositivos Android. Si bien los iPhones de Apple pueden recibir el mensaje de texto, no pueden infectarse.
Tampoco se infectan los teléfonos hasta que los usuarios desafortunados descarguen e instalen el supuesto software anti-FluBot.
A continuación, se muestran algunos ejemplos de cómo pueden verse los mensajes de instalación. El primero, el mensaje relacionado con el paquete, se ha utilizado en campañas anteriores de Flubot:
¿Qué pasa si hice clic, pero no descargué nada?
Los usuarios que hicieron clic en el enlace, pero no descargaron nada probablemente no desencadenaron una infección de Flubot. Sin embargo, “recomendamos encarecidamente” a los usuarios que cambien todas las contraseñas de sus cuentas en línea y se comuniquen con sus bancos solo para estar seguros.
Lo mismo ocurre con los usuarios que ingresaron información personal en un formulario, particularmente los detalles de la tarjeta de pago. Deben cambiar las contraseñas y comunicarse con su banco para verificar si hay actividad inusual.
¿Qué es Flubot?
El troyano bancario Flubot busca información bancaria y de tarjetas de crédito, así como listas de contactos que actualiza a un servidor y utiliza para seguir propagándose. Una vez que un dispositivo ha sido infectado con esta aplicación maliciosa, puede resultar en una pérdida financiera significativa.
La aplicación maliciosa envía automáticamente mensajes de texto desde los dispositivos infectados a los contactos que ha recibido de otros dispositivos infectados. Una vez que se envía el mensaje, el teléfono bloquea el número para que el destinatario no pueda responder para evitar levantar sospechas.
La campaña Flubot de Nueva Zelanda es una copia exacta de una que se produjo en abril de 2021. En ese momento, el malware se propagó rápidamente, utilizando un mensaje similar relacionado con el paquete. El anuncio de la “entrega de paquetes perdidos” se propagó de manera similar a través de mensajes de texto SMS. Esto provocó advertencias urgentes de estafa de los operadores de telefonía móvil, ya que los usuarios de teléfonos móviles con Android en el Reino Unido y Europa fueron atacados.
Ataques a través de SMS
Estos tipos de estafas de phishing por SMS se conocen como ataques de smishing y están lejos de ser nuevos. En febrero, los atacantes estaban recolectando datos personales de usuarios en el Reino Unido con mensajes falsos que prometían reembolsos de impuestos. El phishing móvil ha sido un negocio en auge desde el inicio de la pandemia de COVID-19, dicen los expertos, y se espera que siga creciendo.
Al hablar de esa campaña de febrero, Paul Ducklin, investigador de Sophos, explicó por qué el smishing se está convirtiendo en una opción tan popular para los actores de amenazas.
Según Ducklin “Los SMS están limitados a 160 caracteres, incluidos los enlaces web. Así que hay mucho menos espacio para que los delincuentes cometan errores ortográficos y gramaticales, y no necesitan molestarse con todas las cortesías culturales formalizadas (como ‘Estimado tu nombre real’) que esperarías en un correo electrónico”.
¿Qué pasa si mi Android está infectado?
Tendrás que hacer un restablecimiento completo de fábrica lo antes posible si tu dispositivo está infectado, eliminando todos los datos de tu teléfono. La restauración desde copias de seguridad está, desafortunadamente, fuera de las opciones de limpieza. No debes restaurar copias de seguridad creadas después de instalar la aplicación. Si no sabes que hacer debes buscar los servicios de un profesional de informática calificado.
También debes cambiar todas las contraseñas de las cuentas en línea, especialmente las de las cuentas bancarias en línea. Finalmente, debes comunicarte con tu banco si observas actividad sospechosa.