Detecció de l’amenaça Smishing - FluBot i mesures de contenció

L’Agència de Ciberseguretat de Catalunya ha emès un comunicat en el qual adverteix de la rellevància que està prenent un programari maliciós anomenat FluBot, que afecta als dispositius mòbils amb Android i es propaga per SMS.

Ja fa uns anys que existeixen aquest tipus d’amenaces, però FluBot estableix un nou precedent quant a mètodes de propagació donat que durant un període de temps molt curt ha infectat més de 60.000 telèfons mòbils. Actualment hi ha més d’11 milions de números de telèfon recollits dels dispositius infectats, que representa el 25% de la població total a Espanya.

Es calcula que el programari maliciós és capaç de recollir gairebé tots els números de telèfon a Espanya en un termini de 6 mesos si no es pren cap mesura.

FluBot és un malware orientat a Android que suplanta altres aplicacions del telèfon de la víctima per robar-ne les credencials bancàries i altra informació privada. Es propaga mitjançant SMS i pot escoltar les notificacions entrants, llegir i escriure SMS, fer trucades i transmetre tota la llista de contactes de les víctimes al seu centre de control. El virus també atrau les víctimes a canviar la configuració d’accessibilitat als seus telèfons i els prohibeix desinstal·lar-la.

FluBot es transmet principalment a través d’enllaços web compartits per SMS. Aquests SMS tenen textos persuasius que atrauen l’usuari a fer clic a l’enllaç, que normalment apunta a un lloc web piratejat on s’allotja el paquet d’instal·lació de FluBot.

L’Agència de ciberseguretat de Catalunya estableix les següents mesures de prevenció o correctives, segons si el telèfon ha estat compromès o no:

Si el dispositiu no ha estat compromès

• No respondre missatges de text de desconeguts
• No instal·lar aplicacions des de missatges de text ni de botigues no oficials
• No obrir cap missatge de text en cas de dubte sobre la seva seguretat i verificar-ho amb canals oficials o empreses implicades
• No clicar l’enllaç
• No facilitar cap tipus d’informació personal
• Comprovar que el dispositiu no permeti la instal·lació de APKs d’origen desconegut

Si el dispositiu ha estat compromès (quan el dispositiu mòbil ha instal·lat l’aplicació Fedex.apk amb programari maliciós)

• Contactar amb l’operador telefònic per a desactivar temporalment el servei de SMS per evitar noves víctimes.
• Canviar totes les contrasenyes que l’usuari pugui tenir guardades al dispositiu.
• Eliminar la aplicació maliciosa del dispositiu. Aquest malware serà resistent i evitarà que sigui eliminada. Per poder eliminar-la hi ha dues opcions principals:
• Utilitzar el mode segur del dispositiu Android que permet iniciar només les aplicacions bàsiques del sistema. Buscar el procediment en funció del fabricant per poder activar-lo. Un cop activat el mode segur es podrà desinstal·lar.
• Restaurar el dispositiu i eliminar tots els continguts de tercers.