Vuelven los ataques con el malware bancario FluBot

Los ataques de malware FluBot para Android se están extendiendo en varios países a medida que los actores de amenazas evolucionan sus estrategias.

El malware, que es muy prominente en varios países europeos, fue detectado recientemente en un ataque dirigido a usuarios en EE.UU. Otro informe también arroja luz sobre el ataque de malware contra los usuarios de Android.

El malware bancario FluBot confirmó que ha habido un aumento en el número de páginas de distribución maliciosas que afectan a varios bancos alrededor del mundo.

Las páginas web difamadas se distribuyeron a través de mensajes de texto que se hicieron pasar por servicios de seguimiento de paquetes o notificaciones de correo de voz.

El aspecto interesante de estas campañas involucró la forma en que FluBot usó la superposición de múltiples aplicaciones bancarias populares para robar las credenciales de los usuarios. Además, los investigadores descubrieron que el malware utilizaba un algoritmo de generación de dominios (DGA) para permanecer fuera del radar durante el proceso de infección.

Las páginas maliciosas que pretenden ser notificaciones de correo de voz falsas, o servicios de entrega de paquetes, en realidad están controladas por servidores C2 manejados por atacantes.

El truco está en que solicitan a los usuarios que descarguen un APK de FluBot con el pretexto de rastrear su paquete o escuchar el correo de voz.
Una vez instalados, los dispositivos infectados se ponen en contacto con un servidor C2 ejecutando el DGA y descargan superposiciones para las aplicaciones bancarias instaladas en los dispositivos de las víctimas.

Esta técnica permitió a los atacantes hacerse cargo de aplicaciones relacionadas con diversos bancos alrededor del mundo.

Para reducir el riesgo de convertirse en víctima de FluBot, se recomienda a los usuarios de dispositivos móviles que tengan cuidado con los mensajes SMS inesperados, y no instalar aplicaciones fuera de las tiendas oficiales.