NUEVA VERSIÓN DEL TROYANO FLUBOT SE HACE PASAR POR APLICACIÓN DE FLASH PLAYER

A pesar de que llevamos algún tiempo sin observar campañas de propagación masiva del troyano FluBot en España, esto no significa que los delincuentes detrás de esta amenazas ya no la estén utilizando más. Al contrario, FluBot ha seguido evolucionando y buscando nuevas víctimas en varios países, tal y como vamos a comprobar a continuación.

Suplantando a Flash Player

En una reciente campaña detectada en Polonia y dirigida a usuarios de ese país se ha observado la utilización de una versión reciente del malware FluBot con algunas características destacables. Lo que no ha cambiado ha sido el método de propagación usado y las tácticas empleadas por los delincuentes para propagar esta amenaza, ya que vemos como los mensajes SMS siguen siendo utilizados como gancho y conseguir que quien los reciba pulse sobre el enlace que adjuntan.

Ejemplo de SMS usado en esta campaña – Fuente: CSIRT KNF

Según los ejemplos proporcionados por el equipo de respuesta ante incidentes de ciberseguridad del sector financiero polaco, en estos mensajes se hace mención a unos vídeos que han sido enviados supuestamente por el usuario que recibe los SMS. Este es el cebo que emplean los delincuentes en esta ocasión para conseguir llamar la atención de sus víctimas y lograr que accedan a la web preparada para esta campaña.

Una vez en esa web, se solicita la descarga de una aplicación a la cual han nombrado como FlashPlayer20.apk. Sorprende que en pleno 2022 se siga utilizando Flash Player como gancho, puesto que es un complemento que ya ha sido completamente abandonado por su desarrollador pero que algunos usuarios siguen asociando con la reproducción de contenido multimedia. De esta forma, si el usuario descarga y ejecuta la aplicación maliciosa podremos ver que se instala como una app más en el sistema, aunque con una finalidad maliciosa.

Descarga e instlación de app maliciosa – Fuente: CSIRT KNF

En esta ocasión, estamos ante la versión 5.2 de FluBot, que habría aparecido hace tan solo unos días y que incluye algunas novedades interesantes además de seguir manteniendo algunas de las características que han hecho popular a esta amenaza, tales como obtener el listado completo de los contactos de la víctima, aprovechar el servicio de Accesibilidad de Android para superponer pantallas y capturar la introducción de credenciales o interceptar mensajes SMS con los códigos de verificación enviados por las entidades bancarias para confirmar la realización de transferencias.

En cuanto a las novedades destacables que se encuentran a partir de la versión 5.0 de FluBot, investigadores de F5 han encontrado que los delincuentes ahora usan 30 dominios de nivel superior en lugar de los 3 usados previamente para sus algoritmos de generación de dominio (DGA). Además, han actualizado los resolutores DNS, permiten la actualización de la semilla DGA de forma remota y también el envío de mensajes SMS más largos usando funciones de división en múltiples partes.

FluBot y su evolución

Aunque esta campaña reciente se haya detectado en Polonia, no sería de extrañar que los delincuentes la extendiesen a otros países (incluyendo España), tal y como han hecho en ocasiones anteriores. Recordemos que, desde el principio, nuestro país ha sido uno de los favoritos de los delincuentes para propagar este malware y otros delincuentes han hecho lo mismo con sus propias variantes. Desde la primera campaña detectada y dirigida a usuarios españoles a mediados de diciembre de 2020, las campañas de FluBot y otros imitadores no dejaron de producirse, especialmente durante la primera mitad de 2021. Especial importancia cobraron las campañas que suplantaban a servicios de logística y envío de paquetes de todo tipo, las cuales consiguieron infectar los dispositivos de decenas de miles de usuarios en España.

Sin embargo, en la segunda mitad de 2021 los delincuentes cambiaron de estrategia y empezamos a ver otras campañas en las que se nos avisaba de un correo de voz o, paradójicamente, se nos mostraba una alerta acerca de una infección con FluBot. Si bien estas campañas no llegaron a tener el éxito de las anteriores, el número de víctimas conseguidas por los delincuentes debe de haber sido lo suficientemente importante como para que sigan desarrollando esta amenaza y la actualicen con nuevas versiones.

Además, no debemos dejar de observar que el método utilizado para la suplantación de las entidades bancarias está bastante conseguido, por lo que es muy probable que aquellos usuarios que resulten infectados no sospechen nada al ver la pantalla superpuesta que pide las credenciales de acceso sobre la original de la aplicación de banca online, ya que los delincuentes han tratado de imitar el estilo de las entidades bancarias suplantadas.

Tampoco debemos olvidar que FluBot también puede robar credenciales de acceso a otras aplicaciones como las carteras de criptomonedas o incluso los accesos a redes sociales y correo electrónico. Esto la convierte en una amenaza de lo más versátil y de la que conviene estar convenientemente protegido.

Conclusión

Que los delincuentes sigan desarrollando una amenaza como FluBot significa que aún pueden conseguir un número importante de víctimas con ella, por lo que conviene estar alerta, evitando pulsar sobre enlaces incrustados en mensajes SMS, emails o chats, bloqueando la descarga de ficheros desconocidos y contando con una solución de seguridad adaptada a las necesidades de los usuarios de Android y que permite la detección y eliminación de este tipo de amenazas.

Enlace a la noticia: https://blogs.protegerse.com/2022/01/10/nueva-version-del-troyano-flubot-se-hace-pasar-por-aplicacion-de-flash-player/

SMS CON ENTREGAS PENDIENTES DE PAQUETES: UNA ESTRATEGIA QUE LOS DELINCUENTES SIGUEN APROVECHANDO ACTIVAMENTE

Desde el año pasado venimos observando una tendencia a la hora de propagar amenazas en dispositivos móviles Android, siendo numerosas las muestras que han pasado por nuestro laboratorio. Simulando la entrega pendiente de un paquete, los delincuentes tratan de convencer a los usuarios para que proporcionen información personal o instalen una aplicación, algo que puede terminar con la víctima perdiendo importantes cantidades de dinero.

Pago de arancel aduanero

A lo largo de estos últimos meses, este tipo de amenazas se han ido adaptando para tratar de resultar más convincentes, suplantando la identidad de empresas de logísticas reales o, como en el siguiente caso, inventándose el nombre de la empresa. No obstante, el vector de entrada inicial siguen siendo los mensajes SMS donde se indica que hay un paquete pendiente de entrega o recogida.

En algunas ocasiones los delincuentes han llegado a registrar dominios con nombres similares a las empresas de logística suplantadas, pero desde hace ya varios meses la gran mayoría ha optado por aprovechar webs comprometidas previamente para alojar sus webs maliciosas. Tras pulsar el enlace proporcionado en el mensaje SMS, el usuario es redirigido a una web en la que se avisa de una entrega pendiente y se le proporciona información adicional como el pago pendiente o el motivo de la retención del paquete.

Si bien hemos visto como se empleaba una plantilla similar durante otras campañas detectadas durante las últimas semanas, en esta ocasión observamos algún detalle curioso que demuestra que los delincuentes detrás de estas campañas están actualizados. Decimos esto porque en las imágenes anteriores podemos observar como se hace mención a la retención del paquete en un centro de distribución, haciéndose también mención al pago pendiente de un supuesto arancel aduanero.

Esta es precisamente una situación similar a la que se están encontrando muchos compradores online a la hora de realizar pedidos a tiendas fuera de la Unión Europea y que, desde el pasado 1 de julio, han visto como la mayoría de sus pedidos ahora vienen con un recargo adicional por un cambio en la normativa.

Por supuesto, este mensaje no tiene nada que ver con ese pago legítimo, a pesar de que así nos lo quieran presentar, siendo la finalidad de este engaño la de obtener los datos de la tarjeta de crédito de la víctima, tal y como se solicita en la siguiente pantalla.

El robo de los datos de nuestra tarjeta de crédito puede tener consecuencias graves, que van desde la clonación de esta para realizar compras a nuestro nombre hasta la suscripción de servicios online con una tarificación especial que nos irán haciendo cargos periódicamente hasta que logremos cancelar esta suscripción.

Seguimiento de su paquete

En el ejemplo anterior hemos visto como se utiliza el gancho de un paquete pendiente de entrega para conseguir que la víctima proporcione voluntariamente los datos de su tarjeta de crédito. No obstante, este mismo gancho también se viene utilizando desde finales de 2020 para convencer a la víctima para que descargue e instale una supuesta app de seguimiento que en realidad se trata de un troyano bancario.

Es las sucesivas campañas que hemos venido analizando desde entonces hemos visto como se han suplantado todo tipo de empresas de logística, tanto españolas como internacionales, pero todas ellas empezaban con el envío de un mensaje SMS como el que observamos a continuación.

Al pulsar sobre el enlace proporcionado, la víctima es redirigida a una web en la que se utiliza la imagen corporativa de una conocida empresa internacional de logística, junto con un botón para descargar la aplicación y unas instrucciones de instalación de esta app. Resulta curioso ver como las instrucciones de instalación de la app son bastante más escuetas que en ocasiones anteriores, donde se llegaba a mostrar imágenes con todos los pasos a seguir.

El que los delincuentes no hayan puesto tanto esfuerzo en esta ocasión podría deberse a que el kit que están usando no incorpore la plantilla con las instrucciones detalladas. Recordemos que estas campañas y los troyanos que las acompañan suelen venderse entre ciberdelincuentes.

En última instancia, lo que persiguen los delincuentes es que la víctima termine instalando la aplicación maliciosa y esta detecte la instalación de apps bancarias en el dispositivo. Seguidamente, procederá a mostrar una falsa pantalla de registro la próxima vez que el usuario trate de acceder a ver el estado de sus cuentas bancarias para robar así las credenciales, realizando una transferencia de dinero desde su cuenta e interceptando el mensaje SMS de verificación que muchas entidades siguen empleando para confirmar estas operaciones.

Conclusión:

Tras varios meses analizando este tipo de campañas podemos confirmar que algunos delincuentes van adaptándolas para tratar de hacerlas más efectivas, mientras que otros apenas realizan modificaciones puesto que siguen obteniendo víctimas igualmente. Por ese motivo es importante estar atentos a las alertas sobre este tipo de amenazas que empresas de seguridad, organismos oficiales y medios de comunicación realizamos continuamente y contar con una solución antivirus que sea capaz de detectar y eliminar estas amenazas.

Enlace a la noticia: https://blogs.protegerse.com/2021/09/06/sms-con-entregas-pendientes-de-paquetes-una-estrategia-que-los-delincuentes-siguen-aprovechando-activamente/

Graves vulnerabilidades para dispositivos IOS

La seguridad de los dispositivos móviles es algo que lleva preocupándonos desde hace bastante tiempo. Normalmente, cuando hablamos de amenazas dirigidas a este tipo de dispositivos nos solemos centrar en aquellos que utilizan Android como sistema operativo, pero no debemos olvidar que el sistema iOS de Apple también está en el punto de mira de los atacantes, tal y como hemos visto en numerosas ocasiones.

Descubiertas dos graves vulnerabilidades

En el día de ayer, 22 de abril, se hizo pública la noticia de que investigadores de la empresa ZecOps habían descubierto dos importantes agujeros de seguridad que habrían sido aprovechados por atacantes desde hace varios años para comprometer la seguridad de dispositivos iOS como iPhones e iPads.

El funcionamiento de este ataque consiste en el envío de correos electrónicos especialmente modificados a la bandeja de entrada de la víctima. En el caso de que esta estuviese usando la aplicación de correo predeterminada en iOS 12 o 13, se permitiría la ejecución de la vulnerabilidad y, por tanto, se permitiría a los atacantes robar, editar o borrar correos.

Estas dos vulnerabilidades, catalogadas como Out-of-bounds Write (OOB Write) y Remote Heap Overflow, habrían sido usadas en varios ataques dirigidos contra objetivos variados, desde periodistas a ejecutivos de importantes empresas. De hecho, los agujeros de seguridad fueron descubiertos durante un análisis forense que estaban realizando investigadores de ZecOps.

Dispositivos iOS vulnerables

Según los investigadores, todos los iPhones e iPads con sistema operativo iOS 6 o superior se ven afectados, incluyendo la versión más reciente 13.4.1. No se descarta que dispositivos con versiones más antiguas de iOS también se vean afectados, aunque los investigadores no lo corroboraron.

La vulnerabilidad es especialmente grave en iOS 13, puesto que no se necesita la interacción con el usuario para comprometer el dispositivo, tan solo que la aplicación Mail se esté ejecutando en segundo plano. Por su parte, en iOS 12 se necesita que la víctima pulse sobre el correo malicioso, activándose el ataque antes de que se muestre el contenido del mensaje.


Además, los atacantes pueden realizar múltiples intentos de explotar esta vulnerabilidad, sin que el usuario note nada extraño más allá de una ralentización temporal del dispositivo en iOS 13 o que la aplicación de correo se detenga abruptamente en iOS 12.

Posibles soluciones

Al estar Apple informada de este fallo antes de que se hiciera público, el parche que soluciona estas graves vulnerabilidades ya se incluye en la versión de iOS 13.4.5 beta 2 que fue lanzada el pasado 15 de abril. Sin embargo, al tratarse de una versión preliminar, muy pocos dispositivos la tienen instalada y es de esperar que en los próximos días se lance una actualización para todos los dispositivos con soporte.

Mientras tanto, los usuarios que estén esperando la actualización o no puedan actualizar su dispositivo porque este ya no está soportado por Apple deberán optar por cambiar su cliente de correo por otro que no sea vulnerable, como por ejemplo Gmail u Outlook.

Se trata de un problema importante, especialmente para aquellas empresas y organizaciones que provean de dispositivos iOS a sus empleados y utilicen la aplicación de correo que viene por defecto para gestionar los emails. Muchas tendrán que decidir si esperan a aplicar el parche o cambian de gestor de correo, algo que puede suponer muchas horas de trabajo en una situación de crisis sanitaria y confinamiento que dificulta este tipo de operaciones, especialmente porque muchos de los usuarios de los dispositivos vulnerables se encontrarán en su casa y no será tan fácil hacer el cambio.

Conclusión

Se demuestra una vez más que no existe el sistema operativo invulnerable. Apple sigue recibiendo menos ataques que Android, eso es cierto, pero también es cierto que el número de incidentes ha ido aumentando con el tiempo y los usuarios de estos dispositivos deben considerar aplicar medidas de seguridad efectivas y no confiar ciegamente en el marketing de la empresa de la manzana, ya que esto les podría acarrear serios problemas de seguridad.