Son ya varias las familias de malware bancario para Android que hemos visto nacer en este año 2021, como Toodler, Oscorp y, ahora, FluBot.
Aunque durante las primeras versiones de Flubot, sus desarrolladores parecían estar principalmente interesados en el robo de credenciales de clientes de entidades españolas, a lo largo de los meses se han ido detectando nuevas versiones que se han distribuido en campañas de otros países europeos, incluso en las últimas versiones se han encontrado muestras preparadas para utilizarse en campañas en Japón, que incluyen una semilla diferente para el DGA y cadenas en japonés para los mensajes falsos que se muestran a la víctima.
Sin duda, la expansión a otros países que se está observando, especialmente en las últimas semanas indica que probablemente estemos ante lo que podría convertirse en uno de los bankers más activos de este año.
Actualmente se han detectado versiones utilizadas en campañas en España, Reino Unido, Hungría, Polonia, Noruega, Italia, Dinamarca, Países Bajos, Alemania, Suecia, Finlandia y Japón. En base a lo observado hasta el momento, se espera que la lista de países afectados siga creciendo.
La distribución de este troyano bancario está siendo uno de sus principales puntos fuertes, y es que utilizar mensajes de texto suplantando a empresas de paquetería es una idea realmente buena para engañar a las víctimas y conseguir que instalen la aplicación maliciosa.
Además, para los atacantes el coste es inexistente, puesto que están utilizando los teléfonos infectados para enviar estos mensajes a los números que van recopilando con cada infección.
Esto es especialmente problemático para el usuario, ya que no solo podrían robarle sus credenciales, sino que va a tener que pagar en su factura el envío de los mensajes fraudulentos que se envían sin que se de cuenta.
Más allá de la estrategia de propagación y de la implementación del DGA, Flubot no es más que otro banker para Android, cuya estrategia de robo de credenciales es la misma que la del resto: inyecciones web de phishing (overlays) que se muestran cuando se detecta la apertura de la aplicación legítima a través de los eventos de accesibilidad.
Gracias a los permisos de accesibilidad este troyano no solamente es capaz de detectar la apertura de las aplicaciones afectadas para mostrar las inyecciones, sino que además le permite registrar y enviar al servidor de los atacantes los diferentes eventos que se producen en la interfaz, incluyendo aquellos relacionados con los cambios en los campos de texto, pudiendo así robar credenciales mientras el usuario teclea sus credenciales.
Además de la funcionalidad principal para robar credenciales, Flubot incluye también funcionalidad para robar otros datos presentes en el dispositivo, la igual que ocurre con muchas otras familias de bankers para Android.
El robo de la lista de contactos, principalmente para seguir propagando el troyano, y el robo de los mensajes de texto recibidos, para tener acceso a los códigos de autenticación de un solo uso, son algunas de las funcionalidades implementadas por este malware más allá del robo de credenciales.
La presencia de un algoritmo que genere los nombres de dominio utilizados por el servidor de control cada mes junto al uso de cifrado asimétrico para, principalmente, verificar que se trata de un servidor controlado por los desarrolladores, son los principales elementos que diferencian a Flubot del resto de troyanos bancarios para Android.
Como se ha comentado anteriormente, son ya tres nuevas familias las que hemos visto en el inicio de año, lo que nos hace pensar que podríamos ver alguna más a lo largo del año.
Aunque sin duda, lo que veremos serán nuevas muestras de Flubot a lo largo de todo este año, y en base a lo visto hasta ahora, seguramente veamos nuevas campañas afectando a usuarios de países más allá de los afectados a día de hoy.
Por tanto, debemos seguir muy atentos a las novedades que con total seguridad seguiremos viendo este año.
