David Morán 20/07/21 6 min read

Flubot: Mensajes de Texto Suplantando a Empresas de Paquetería

Son ya varias las familias de malware bancario para Android que hemos visto nacer en este año 2021, como Toodler, Oscorp y, ahora, FluBot.

Aunque durante las primeras versiones de Flubot, sus desarrolladores parecían estar principalmente interesados en el robo de credenciales de clientes de entidades españolas, a lo largo de los meses se han ido detectando nuevas versiones que se han distribuido en campañas de otros países europeos, incluso en las últimas versiones se han encontrado muestras preparadas para utilizarse en campañas en Japón, que incluyen una semilla diferente para el DGA y cadenas en japonés para los mensajes falsos que se muestran a la víctima.

Sin duda, la expansión a otros países que se está observando, especialmente en las últimas semanas indica que probablemente estemos ante lo que podría convertirse en uno de los bankers más activos de este año.

Actualmente se han detectado versiones utilizadas en campañas en España, Reino Unido, Hungría, Polonia, Noruega, Italia, Dinamarca, Países Bajos, Alemania, Suecia, Finlandia y Japón. En base a lo observado hasta el momento, se espera que la lista de países afectados siga creciendo.

La distribución de este troyano bancario está siendo uno de sus principales puntos fuertes, y es que utilizar mensajes de texto suplantando a empresas de paquetería es una idea realmente buena para engañar a las víctimas y conseguir que instalen la aplicación maliciosa.

Además, para los atacantes el coste es inexistente, puesto que están utilizando los teléfonos infectados para enviar estos mensajes a los números que van recopilando con cada infección.

Esto es especialmente problemático para el usuario, ya que no solo podrían robarle sus credenciales, sino que va a tener que pagar en su factura el envío de los mensajes fraudulentos que se envían sin que se de cuenta.

Más allá de la estrategia de propagación y de la implementación del DGA, Flubot no es más que otro banker para Android, cuya estrategia de robo de credenciales es la misma que la del resto: inyecciones web de phishing (overlays) que se muestran cuando se detecta la apertura de la aplicación legítima a través de los eventos de accesibilidad.

Gracias a los permisos de accesibilidad este troyano no solamente es capaz de detectar la apertura de las aplicaciones afectadas para mostrar las inyecciones, sino que además le permite registrar y enviar al servidor de los atacantes los diferentes eventos que se producen en la interfaz, incluyendo aquellos relacionados con los cambios en los campos de texto, pudiendo así robar credenciales mientras el usuario teclea sus credenciales.

Además de la funcionalidad principal para robar credenciales, Flubot incluye también funcionalidad para robar otros datos presentes en el dispositivo, la igual que ocurre con muchas otras familias de bankers para Android.

El robo de la lista de contactos, principalmente para seguir propagando el troyano, y el robo de los mensajes de texto recibidos, para tener acceso a los códigos de autenticación de un solo uso, son algunas de las funcionalidades implementadas por este malware más allá del robo de credenciales.

La presencia de un algoritmo que genere los nombres de dominio utilizados por el servidor de control cada mes junto al uso de cifrado asimétrico para, principalmente, verificar que se trata de un servidor controlado por los desarrolladores, son los principales elementos que diferencian a Flubot del resto de troyanos bancarios para Android.

Como se ha comentado anteriormente, son ya tres nuevas familias las que hemos visto en el inicio de año, lo que nos hace pensar que podríamos ver alguna más a lo largo del año.

Aunque sin duda, lo que veremos serán nuevas muestras de Flubot a lo largo de todo este año, y en base a lo visto hasta ahora, seguramente veamos nuevas campañas afectando a usuarios de países más allá de los afectados a día de hoy.

Por tanto, debemos seguir muy atentos a las novedades que con total seguridad seguiremos viendo este año.

Descargar el informe completo aquí.

avatar

David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.