Flubot: de España al resto del mundo

Es bastante probable que, aunque no hayas escuchado hablar sobre Flubot, sí que te hayas topado con sus acciones en alguna ocasión. Pero empecemos por el principio, ¿recuerdas que entre finales de 2020 y principios de 2021 se produjo un enorme incremento en los mensajes SMS fraudulentos, principalmente relacionados con supuestos envíos de Correos que estaban retenidos a la espera de pagos,  o con códigos de seguimiento? El problema es que ni eran pedidos reales ni Correos (y otras empresas suplantadas) estaban detrás de dichos envíos. Así empezamos a saber de Flubot, el smishing con el que nos comimos las uvas.

Desde entonces, y aunque con un importante descenso de actividad en marzo, que se relaciona con una intervención policial, Flubot ha seguido presente in the wild, y según podemos leer en el blog de la compañía de ciberseguridad Proofpoint, recientemente ha iniciado su expansión internacional, que por ahora se concentra en Europa, pero que según la opinión de varios expertos, no tardará en expandir su alcance, principalmente cruzando el Atlántico.

Por ahora, se ha detectado presencia de Flubot en Alemania, Hungría, Italia, Polonia y Reino Unido. En cada uno de dichos países, ha iniciado su difusión entre dispositivos con Android, con el fin de emplearlos posteriormente para el envío masivo de mensajes SMS fraudulentos a la lista de contactos del propietario del smartphone afectado. Esta es la razón por la que, en ocasiones, algunas personas han recibido estos mensajes desde números que podían identificar.

Se sabe que solo en Reino Unido Flubot ya ha logrado infectar más de 7.000 dispositivos, y que sus operadores ya han efectuado varias campañas destinadas a dicha audiencia, con los mensajes escritos en inglés y referencias locales para darle mayor credibilidad al engaño. Es un número elevado, pero aún muy lejano de los más de 60.000 terminales que se estima que están infectados en nuestro país. Pero aún es el alcance del «listín telefónico» que han podido recopilar sus atacantes, y que según expertos podría alcanzar los 11 millones de números españoles.

Una vez instalado en un terminal, además de obtener la lista de contactos para seguir con su difusión, el principal objetivo de Flubot son las apps de banca móvil y de criptomonedas que, básicamente, lo que hacen es ofrecer una vista web adaptada (webview), con el fin de suplantarla con pantallas que emulan ser las originales, pero que en realidad lo que hacen es capturar los datos introducidos por el usuario para, posteriormente, hacérselos llegar a los operadores de este malware.

Es una sorpresa, sin duda, saber que Flubot sigue así de activo, pues una operación de los Mossos d’Esquadra en Barcelona el pasado mes de marzo condujo a la detención de cuatro hombres, de edades comprendidas entre los 19 y los 27 años, como presuntos autores del delito de estafa y pertenencia a grupo criminal. Cabía esperar que este malware desapareciera tras esta operación, pero su resurgir invita a pensar en una red más amplia de operadores.

Los mensajes SMS emulan, en la inmensa mayoría de las ocasiones, ser una comunicación legítima relacionada con un envío postal, e intentan que el usuario descargue una app desde un enlace que se encuentra en el propio SMS. Por eso es fundamental recordar, siempre, que no hay que descargar apps de fuentes no confiables (como un enlace en un SMS sobre un envío que no esperamos), y menos aún deshabilitar los elementos de seguridad del sistema operativo del móvil, así como los que hayamos instalado nosotros, a petición de este tipo de mensajes y engaños.

Si no esperamos un envío, es tremendamente raro que nos llegue un mensaje sobre su recogida, y es más extraño aún que pese a tratarse de grandes grupos públicos o privados, no tengan sus apps alojadas en Google Play, la tienda oficial de Android. Por lo tanto, si recibimos un mensaje de este tipo, lo mejor que podemos hacer es descartarlo de inmediato. Y en todo caso, si cabe la posibilidad de que sea un envío real, lo mejor es emplear los canales oficiales de comunicación de la empresa que está gestionando el envío para comprobar la veracidad del mensaje.