Siempre es una buena noticia anunciar el desmantelamiento de la infraestructura de algún malware o la detención de sus responsables. Además, si este malware ha tenido un impacto significativo en España, como es el caso de FluBot, los motivos para alegrarse se incrementan.
Pues bien, es el caso de la noticia que nos llega desde Europol pues gracias a una operación internacional que involucró a 11 países ha conseguido desmantelar la infraestructura utilizada por los delincuentes detrás de FluBot, uno de los malware más activos durante los últimos dos años y que se propagaba rápidamente usando mensajes SMS. Su objetivo principal era el robo de credenciales bancarias, aunque también se han observado variantes robando credenciales de otros servicios online, así como también otro tipo de información personal.
Según informa Eruopol en su nota de prensa, la policía holandesa consiguió desmantelar la infraestructura usada por este malware el pasado mes de mayo provocando la desactivación de esta amenaza. Esto se consiguió tras una compleja investigación que involucró a las fuerzas policiales de 11 países, incluyendo la Policía Española en coordinación con el Centro europeo del Cibercrimen de Europol. Aunque, la investigación sigue en curso con el objetivo de identificar a los responsables de esta campaña global de propagación de malware.
Un repaso a la evolución de FluBot
El 23 de diciembre de 2020 se analizó la primera campaña detectada y que iba dirigida usuarios españoles, sin embargo, el malware fue utilizado en diversas ocasiones para suplantara varias empresas de logística. FluBot utilizaba los dispositivos Android infectados para el envío de los mensajes SMS que utilizaba para propagarse, por lo que las víctimas no solo sufrían el robo de credenciales y dinero de sus cuentas bancarias sino, que en algunos casos tendrían que asumir costosa facturas provocadas por enviar mensajes SMS a teléfonos situados en países remotos.
Además, según algunas investigaciones como la realizada por la empresa Prodaft a principios de marzo de 2021, se estimó que, por aquel entonces, los delincuentes habrían conseguido infectar a unos 60.000 dispositivos y obtenido el número de teléfono de alrededor de 11 millones de usuarios. La gran mayoría de esas víctimas eran españolas, ya que los delincuentes se cebaron especialmente en nuestro país durante las primeras semanas antes de comenzar a expandirse por otros países.
Desde su aparición, FluBot no dejó de evolucionar y, además de añadir nuevos países a su lista de objetivos, ha utilizado nuevos ganchos además de los falsos envíos de paquetes. Como ejemplos de estos cambios de estrategia pudimos ver en España campañas como el envío de supuestos mensajes de voz, actualizaciones de Flash Player o alertas de seguridad que, paradójicamente, avisaban de la existencia de este. En ambos casos, la finalidad era la de conseguir que las víctimas descargasen e instalasen una aplicación maliciosa en su dispositivo.
A pesar del desmantelamiento de la infraestructura de FluBot el problema actual con este tipo de malware dirigido a dispositivos Android es que ahora existen muchas otras familias con una finalidad similar y que también han adoptado el malware como servicio. Esto permite incluso a delincuentes con pocos conocimientos técnicos preparar sus propias campañas e inundar de SMS maliciosos dispositivos en varias partes del mundo.
Por ello, se insta a todos los usuarios de Android a no bajar la guardia y utilizar soluciones de seguridad que puedan bloquear este tipo de malware.
La entrada Europol desmantela la infraestructura de FluBot aparece primero en Globb Security.
