La empresa de software de seguridad ESET advierte actualmente sobre una campaña de spam dirigida, entre otras cosas, a los usuarios de Android en Alemania. A primera vista, los mensajes son avisos de que se han enviado paquetes, generalmente con el siguiente texto: «Su paquete llega y lo sigue aquí». Sin embargo, los usuarios nunca deben hacer clic en el enlace encontrado: según ESET, conduce a sitios web de phishing donde acecha un troyano bancario.
Según ESET, los mensajes de texto SMS que contienen el código malicioso han estado presentes en los teléfonos inteligentes en Alemania desde al menos el 15 de marzo, es decir, desde principios de la semana pasada. Los números de remitente difieren al igual que las URL en los mensajes, pero el factor común entre ellos, al menos en el caso de los ejemplos disponibles para el consejo editorial, es que no tienen nada que ver con los servicios de paquetería. Ejemplo (un poco por el lado seguro) gira en torno a h **** // a4hdepa ** age.cm / id /? 9qk2 *** e2b *.
(fotografía: ESET a través de Twitter)
El malware se hace pasar por una aplicación de seguimiento de paquetes
Cómo Publicación de blog de ESET sobre la campaña de spam Explique que los enlaces conducen a un sitio web que nos recuerda el sitio web de la empresa de logística de FedEx; Pero también hay variantes con logos de DHL y la empresa española Correos. Allí se le pide al usuario que instale una aplicación de seguimiento. Según ESET, este, a su vez, es el troyano bancario FluBot de Android.
La muestra de video de Stefanko muestra un sitio web falso de FedEx con un aviso para instalar.
(Imagen: ESET / Twitter)
Todo el proceso, desde abrir un enlace malicioso hasta completarlo. El empleado de ESET, Lukas Stefanko, mostró la instalación de FluBot en un video en Twitter. Por lo tanto, muchas interacciones del usuario en forma de licencias son necesarias para que el caballo de Troya se instale completamente en el sistema. Según ESET, estos incluyen «ver notificaciones, leer y escribir mensajes SMS, acceder a una lista de contactos y hacer llamadas».
Enviar SMS a los datos de contacto copiados
FluBot apunta a datos de aplicaciones de bancos e intercambios de criptomonedas y tiene la capacidad de interceptar contraseñas de autenticación de dos factores (2FA) de una sola vez desde SMS. También son posibles los ataques de superposición, en los que un caballo de Troya simula y reemplaza las interfaces de usuario de la aplicación (bancaria). Según ESET, el caballo de Troya lee los números de teléfono de las listas de contactos de sus víctimas para propagarse. Según los análisis, «se han robado más de 11 millones de números de teléfono, especialmente en España» desde el cinco de marzo. De hecho, hubo detenciones «en relación con el caso»; Sin embargo, el malware ha seguido propagándose hasta ahora.
Debido a que la infección con FluBot requiere que los afectados instalen la supuesta aplicación bancaria, ignorar (o eliminar) los SMS sospechosos brinda una protección efectiva contra el código malicioso.
(OVNI)
