En las últimas semanas, un virus extremadamente sofisticado está vaciando las cuentas de algunos usuarios incautos. Se llama Flubot, aunque popularmente habrás oído hablar de él como la estafa SMS de FedEx. Hoy vamos a explicarte todo lo que sabemos hasta ahora sobre este virus para que seas capaz no solo de evitarlo, sino también de entenderlo.
Estamos posiblemente ante uno de los virus más complejos y avanzados que hemos visto en los últimos tiempos, sobre todo por la manera en la que ha ido evolucionando para hacerse más sofisticado. Empezó de forma inocente, pero ahora te manda los SMS a tu nombre, lo que hace que personas que no entiendan tanto sobre los peligros de Internet puedan picar más fácilmente.
Todo empieza con un SMS muy inocente, una empresa de mensajería te dice que te está entregando una cosa, y que para gestionar la entrega debes bajarte una app al móvil. Te la bajas confiando en la empresa, pues te llama por tu nombre, y quizá incluso estás esperando algo de verdad. Una vez instalas la app, esta registrará todo lo que escribas en tu móvil incluyendo las contraseñas bancarias con las que podría llegar a robarte dinero, y te usará para infectar a otras personas.
La evolución de un virus muy sofisticado
La primera vez que te hablamos de este ataque fue a mediados de febrero. Por aquel entonces, se te mandaba un mensaje poco personal para descargarte una app peligrosa. Pero en pocas semanas el virus empezó a evolucionar, y cuando alguien instala la app extrae todos los contactos y los utiliza para enviar mensajes fraudulentos con el nombre asignado a estos contactos. Así, el mensaje es más personal y parece más sofisticado.
Actualmente, se calcula que el virus ya ha infectado a más de 60.000 dispositivos en todo el mundo, y que la mayoría de ellos en España. De hecho, se apunta a que el virus ha robado el número de 1 de cada 4 españoles. Según la compañía de seguridad suiza PRODAFT, este virus bautizado como FluBot también ha recopilado más de 11 millones de números de teléfono españoles, que están en manos de los atacantes para usarlos con la intención de seguir expandiéndolo.
FluBot está dirigido a Android, y aunque los dispositivos de hoy te avisan de todos los permisos que requiere una app al instalarse, está siendo bastante exitoso a la hora de engañar a usuarios inexpertos que no se paran a leer los avisos e instalan cosas sin mirar. Y eso lleva a casos como el de los suegros de un usuario de Forocoches, que como explicó el usuario, el virus permitió que los atacantes les robase 50.000 euros del banco.
Y hay más casos. Tal y como te hemos contado en Xataka, algunos propietarios de tiendas de reparación de móviles han notado un aumento de casos, y en algunos de ellos se les ha llegado a robar 23.000 euros creando tarjetas prepago de 1.000 euros hasta vaciar su cuenta.
¿Pero cómo te pueden robar sin darte cuenta? Pues ahora vamos a profundizar, pero la clave está con una de las características sofisticadas del virus: sustituye a la app de SMS, de manera que los atacantes leen y usan todos los que te lleguen, y tú no puedes leerlos. La app que descargas con el virus es evidente, un usuario experto enseguida notará que su app de SMS ha cambiado. Pero de nuevo, es un virus dirigido a los usuarios sin experiencia.
Cómo funciona este ataque
Todo empieza recibiendo un SMS. De hecho, este es un tipo de troyano bastante común, de los que te invitan a bajarte la APK con la que instalarte el virus pensando que es una app oficial. La diferencia es que FluBot te va a enviar mensajes a tu nombre, algo que puede hacer que te confíes pensando que si saben tu nombre, quizá es porque realmente es la empresa de mensajería que dicen ser. Además, el SMS te llegará desde un número español aparentemente normal.
En el SMS que te llega pueden aparecer diferentes tipos de mensaje, pero siempre relacionados con un supuesto paquete que te tiene que llegar. Unas veces pueden decirte que está a punto de llegarte y otras que no han podido entregártelo, pero el punto en común es que siempre te dirán que debes entrar en un enlace para gestionar la recepción del paquete.
El enlace que te llega tampoco es siempre el mismo, aunque en todos los casos te llevará a una web fraudulenta que imita la de la empresa de mensajería por la que se están haciendo pasar. Por lo general suele ser FedEx, pero pueden ser otras. Lo primero que destaca es que la web a la que vas nunca va a ser la oficial de la empresa de mensajería, pero los atacantes tienen la esperanza de que no te fijes en eso.
En estas páginas, se te va a solicitar descargar una aplicación en formato instalable. Esto quiere decir que no te van a llevar a la tienda oficial a descargarte la app oficial, sino que te harán bajarte una APK fraudulenta. Cuando la instales, la app te pedirá un montón de permisos, y cuando los aceptas y la instalas, ya estarás a su merced.
En primer lugar, la aplicación que te instalas va sustituir la app de SMS de tu móvil. Cuando la sustituyas, dejarás de poder ver los SMS que te llegan o que envías, de forma que en ningún momento puedas sospechar que se está haciendo algo a tus espaldas. Esto de por sí ya es peligroso, porque a mucha gente le han llegado importantes facturas por envíos de SMS que ellos no han realizado.
Además de esto, la app también podrá recopilar todo lo que haces y escribes en tu móvil. De esta manera, la aplicación podrá leer tus nombres de usuario contraseñas en todos los sitios donde las escribas, pudiendo así tener acceso a tus aplicaciones bancarias si las miras por el móvil. También podrá leer los mensajes que recibas y otros contenidos.
Este virus también es capaz de recibir, escribir o enviar SMS a tus contactos, aunque a tus contactos les envía el SMS a través del número de otras víctimas para que no se sospeche nada si llegan del tuyo. Por eso, el virus recopila tu lista de contactos para expandirse haciéndoles llegar otros mensajes, y difundirse así el máximo posible.
A todo esto, hay que añadirle que la aplicación es bastante complicada de desinstalar, y que es capaz de actualizarse para modificar su comportamiento. Vamos, que puede ir evolucionando si la tienes instalada para que sea más difícil de desinstalar.
Qué controla FluBot en tu móvil
Tal y como explicaron en Xataka Android, este virus te va a pedir varios tipos de permiso. Te va a pedir Ver y controlar la pantalla, lo que quiere decir que podrá leer todas tus contraseñas, mensajes, contactos y contenido de tu teléfono. También te pedirá permiso para *Ver y realizar acciones, que permitirá registrar las interacciones con el teléfono, aunque vengan de sensores de hardware, así como interactuar con otras aplicaciones en nuestro nombre.
La app también te pedirá los siguientes permisos:
- Leer registro de llamadas
- Leer y enviar SMS
- Leer tu libreta de contactos
- Leer estado del teléfono (en llamada, conectado a la red de datos móviles, identidad del teléfono, etc.)
- Mantenerse activa en segundo plano y desactivar optimizaciones de batería
- Leer todo el contenido de tu pantalla y las aplicaciones en ejecución
- Ver que aplicaciones tiene instaladas el usuario
- Desinstalar aplicaciones en nombre del usuario
- Leer datos del portapapeles
En definitiva, si instalas FluBot, este será el dueño de tu móvil. Podr´ça escribir, enviar y recibir SMS, lo que ya de por si puede salirte caro por el precio de estos. También puede hacer llamadas, conectarse a Internet, y funcionar en segundo plano sin que te des cuenta. También puede ocultar su propio icono para intentar ser más difícil de detectar y borrar.
También es capaz de actualizarse por sí mismo, mediante la ejecución de código dinámico descargado desde Internet. Vamos, que puede ir evolucionando en tu móvil para hacer más cosas de las iniciales. También puede mandar datos de forma constante a los atacantes.
Cómo evitar infectarte con este virus
Este tipo de estafas pueden tener algunas diferencias, como el hecho de que esta mencione tu nombre. Pero también tienen algunos puntos en común, señales que pueden hacerte darte cuenta de que algo es extraño. El primero es el más obvio, que si no estás esperando ningún tipo de envío no te confíes para nada. Nadie te va a regalar o enviar nada por error, o sea que ten cuidado con pensar que algo así te puede beneficiar.
Y si estás esperando algo y da la casualidad de que va a llegar por FedEx, también hay cosas que puedes detectar enseguida. En primer lugar, no es normal que se te obligue a descargar una app para poder rastrear envíos, ya que normalmente es algo que vas a poder hacer sin problemas en las webs a las que enlazan los mensajes de aviso.
Además, enseguida se identifican este tipo de estafas, porque en los engaños no se utilizan los dominios de las webs oficiales. Las webs oficiales de Correos, FedEx y demás empresas tienen un dominio concreto, una web oficial claramente identificable si buscas en Internet, y todo lo que no sea ese dominio es fraudulento. Si se quieren hacer pasar por FedEx.com, puede que usen algo tipo fedex.loquesea.com, o directamente un dominio que no tiene nada que ver con la esperanza de que no te fijes y no te des cuenta.
Además, estas empresas nunca te pedirán que descargues su app mediante un archivo APK, sino que directamente te enlazarán a la tienda de aplicaciones de iOS o Android para descargártela por una vía segura. Nunca tienes que fiarte de aplicaciones APK que no conozcas perfectamente, y mucho menos si son de servicios supuestamente oficiales.
Pero incluso en el caso de que no te des cuenta, también debes prestarle atención a la cantidad de permisos que te pida una app. Este virus concreto te va a pedir acceder al registro de llamadas, usar tus SMS, acceder a tus contactos, y otras cosas que una aplicación de mensajería nunca va a necesitar.
En este aspecto, nunca es aconsejable que te instales una app que te pida demasiados permisos o más de los que consideres que va a necesitar. Y si ves que una te pide mantenerse activa en segundo plano, leer todo el contenido de tu pantalla y tus aplicaciones, o incluso acceder a datos del portapapeles, estas son cosas que ninguna aplicación con buenas intenciones te va a pedir.
Cómo saber si ya estás infectado con FluBot
Lo primero que vas a notar si te infectas con este malware es que tu aplicación de SMS ha cambiado y ya no es la de siempre. Cuando esta aplicación se instala, verás que hay una app de FedEx que sustituye a la normal de los SMS, y eso es un signo inequívoco de que algo raro hay. Ninguna app de un servicio de mensajería sustituirá nunca tu aplicación de mensajes.
Otro método es buscar la aplicación de mensajes para intentar ver tus SMS antiguos. En el caso de que no puedas verlos o no tengas acceso a la aplicación, deberías empezar a sospechar. Además, también puedes pedirle a alguien que te envíe un SMS para comprobar si te llegan o si se te han bloqueado, que es uno de los comportamientos de este virus.
También es posible que, en un intento de que no te des cuenta, la app decida esconderse. En ese caso, busca la palabra FedEx en el cajón de aplicaciones. Si antes no tenías esta aplicación, pero de repente la ves, es porque se ha instalado y te has infectado.
Un comportamiento que hemos notado en Xataka es que, gracias a los permisos que te pide, la aplicación es capaz de hacer que se te cierre la Play Store, la tienda de aplicaciones de Google. Además, puedes entrar en los ajustes de Android, y en la sección de Aplicaciones revisar cuáles son las apps predeterminadas. Si ves que FedEx está como app de mensajería, es porque te has infectado y se ha cambiado a si misma.
Por último, pensando mal, también puedes consultar desde el ordenador la factura de tu operador, o llamarles, pero nunca mirarlo desde el móvil que puedas tener afectado. Esta aplicación va a enviar SMS en tu nombre, por lo que enseguida lo vas a ver reflejado en tu tarifa cuando detectes que alguien está haciendo que gastes mucho dinero en mensajes.
Qué hacer si te has infectado
En el caso de que te hayas infectado, lo primero es intentar minimizar el daño que te puedan hacer. Para ello, ponte en el peor de los casos dando por hecho que todas las contraseñas que hayas escrito con esta app instalada han sido recopiladas por sus creadores. Por eso, debes cambiar todas las contraseñas desde otro dispositivo para asegurarte de retirar el acceso a quien las pueda haber conseguido.
Además, también es imporante que llames a tu operador para informarles del problema, y que te intenten desactivar temporalmente los SMS, o incluso desactivar temporalmente la SIM si hiciera falta. Esto también te servirá para preguntarles por los gastos en los SMS y salir de dudas.
Luego debes eliminar este virus de tu móvil, aunque es una aplicación capaz de evitar que lo hagas manualmente como con otras apps. Pero hay algunos métodos, como acceder al modo seguro de Android, un proceso que puede ser diferente dependiendo tu fabricante. Cuando entras en este modo sólo se ejecutarán las apps básicas de Android, lo que te va a permitir desinstalar a mano la app fraudulenta de FedEx sin que esta pueda defenderse, ya que no estará ejecutándose.
Otra opción es simplemente restaurar Android a sus ajustes de fábrica, algo así como formatear tu móvil. Cuando lo hagas, todo lo que tengas instalado se borrará, incluyendo esta aplicación. Cuando lo vayas a hacer asegúrate de tener copias de seguridad, pero nunca escribas contraseñas para que la app de FedEx no las lea.
Hay otros métodos más técnicos, pero creo que con estos dos ya vas a tener suficiente para prácticamente cualquier caso. Una vez desinstales el virus, o incluso antes, también es útil avisar a tus contactos más cercanos para que no les pase a ellos, ya que recibirán un SMS de FedEx con el nombre que tú les asignases en tus contactos, aunque desde otro móvil.
Ver todos los comentarios en https://www.xataka.com
VER 0 Comentario