André Tavares, Threat Researcher
BitSight ha estado recopilando datos de telemetría de ataques de FluBot desde marzo de 2021. En total, han identificado 1,3 millones de IPs utilizadas por los dispositivos Android infectados. De todas ellas, más de la mitad (61%) están ubicadas en España y Alemania. Además, han rastreado un aumento de IPs a lo largo del tiempo, lo que probablemente indica un aumento de los dispositivos infectados.
FluBot fue visto por primera vez a principios de 2020, se trata de un troyano bancario utilizado para robar datos financieros, de contactos, SMS y otros tipos de datos privados. Sus operadores han descubierto una variedad de medios creativos para distribuir el malware, evolucionando constantemente sus tácticas de ingeniería social y métodos de distribución para alimentar el continuo crecimiento y expansión de este troyano.
Este malware proporciona a los autores de las amenazas el control remoto total de un dispositivo infectado, incluida la capacidad de enviar, interceptar y ocultar mensajes SMS y notificaciones; extraer datos confidenciales del usuario, como contactos, contraseñas e información personal; y llevar a cabo ataques de superposición.
FluBot se propaga habitualmente a través de mensajes SMS a los contactos de un dispositivo infectado, así como a los contactos descargados del servidor C2 de FluBot. Normalmente, FluBot aparece como un mensaje para la entrega de paquetes. A continuación se muestran algunos ejemplos:
Mensajes SMS maliciosos
(Fuente: switch.ch) (Fuente: incibe.es)
Páginas de señuelos maliciosos