Pese a que conocemos desde hace meses las estafas por SMS que suplantan a empresas de mensajería con diversos pretextos con el objetivo de instalar una aplicación maliciosas en teléfonos Android, no ha sido hasta ahora que una compañía de ciberseguridad ha puesto cifras y nombre a esta importante amenaza. Un serio problema, principalmente para usuarios españoles, que no hace más que agravarse con sucesivas campañas.
FluBot es el nombre que han dado al malware, «porque su tasa de propagación y su vector de infección se asemejan a la gripe común», y estas las cifras que estima la empresa suiza PRODAFT: más de 60.000 terminales Android infectados y 11 millones de números de teléfonos robados. Una cifra, esta última, que representa el 25 % de los habitantes de España.
Aseguran que en 6 meses podría robar todos los números de teléfono de España
Llevamos viendo desde finales de 2020 y principios de 2021 cómo se suceden campañas que siguen un mismo patrón: mediante un SMS, avisan de la recepción de un paquete suplantando a una empresa logística e invitan al receptor del mensaje de texto a instalarse una aplicación, saltándose diferentes sistemas de seguridad del teléfono, para supuestamente poder saber dónde está el paquete.
Hemos visto campañas de este tipo que suplantan a Correos, a FedEx o a DHL. También, aseguran desde la compañía que ha estimado el impacto de la amenaza, el troyano bancario también se ha presentado como una instalación de Chrome. Aunque este disfraz no lo habrían usado tanto.
PRODAFT, que ha publicado el resultado de su investigación, ha podido medir el impacto de FluBot gracias a la desanonimización de la infraestructura de mando y control de la red de bots que se ha tejido. En el panel de control han podido ver que, a pesar de su visión simplista, fue capaz de manejar decenas de miles de conexiones con dispositivos infectados «sin ningún problema de rendimiento». Concretamente, conexión con los mencionados 60.000 móviles Android.
El problema, más allá de la infección en sí del dispositivo, es que el malware puede llegar a robarnos dinero de nuestras cuentas bancarias a través de las aplicaciones bancarias. Como relatan nuestros compañeros de Xataka, quienes están detrás de este peligroso troyano son capaces de acceder a nuestro dispositivo y a nuestras cuentas. Pueden, incluso, operar con ellas y retirar dinero sin hacer ruido gracias, entre otros motivos, a que puede leer los SMS entrantes y capturar los códigos de confirmación que envían las entidades bancarias para confirmar operaciones. Es, inequívocamente, uno de los troyanos más peligrosos y sofisticados en la historia de Android.
Entre otros motivos, según la investigación, porque más allá de interceptar notificaciones, establecerse como aplicación por defecto para SMS para así poder controlarlos, robo de agenda de contactos, etcétera, es que mediante el servicio de accesibilidad de Android el troyano puede mostrar sus pantallas de phishing encima de otras aplicaciones legítimas: por ejemplo, simular la pantalla de identificación de una aplicación de un banco como muestran los investigadores. En el ejemplo suplantan a Cajamar. Esto es algo que hasta ahora desconocíamos sobre esta estafa SMS y que apuntan, es su fin último, hacerse pasar por las aplicaciones bancarias legítimas.