Cómo librarse de Flubot, el virus de los falsos avisos de paquetería

En los últimos meses se han recrudecido los ataques informáticos por SMS. Los ciberdelincuentes informan sobre la imposibilidad de entregársenos un paquete, incluyendo un enlace con el que (supuestamente) podemos fijar una nueva fecha de entrega. Al pinchar en la url, el usuario acaba instalando una app ilegítima del servicio de mensajería en cuestión. Es entonces cuando el programa solicita permiso para desactivar las protecciones de software del teléfono.

Durante la instalación también se nos solicita 'activar el servicio de accesibilidad', lo que es otra trampa. Al aceptar estamos dando permiso a los atacantes para que cotilleen el uso que realizamos del dispositivo. Tienen entonces vía libre para controlar el teléfono y agenciarse toda clase de datos personales (números de tarjetas de crédito, contactos...).

Este malware en concreto recibe el nombre de 'Flubot' y ha centrado sus ataques en España: desde diciembre de 2020 ha infectado a 60.000 dispositivos, el 97% de ellos localizados en nuestro país, haciéndose con los datos de más de 11 millones de números de teléfono. Según cálculos de la empresa suiza de ciberseguridad Prodaft, en seis meses los piratas informáticos habrán conseguido todos los números de teléfono españoles si no se actúa para frenarlo.

Flubot entra en el teléfono con el señuelo de un SMS supuestamente enviado por un servicio de mensajería (los expertos de Prodaft han detectado que finge ser de Correos, DHL o FedEx). El objetivo de Flubot son los servicios de banca electrónica y algunas aplicaciones de criptomoneda presentes en los móviles infectados, aunque también recoge datos de otras apps instaladas en el dispositivo.

Según informa la empresa española de seguridad Hispasec en un informe que analiza el uso de la marca FedEx como señuelo, cuando el usuario abre alguna aplicación que puede contener información personal importante, como la de su banco o una cartera de criptomonedas, el malware se solapa con ella para recoger los datos sin que el usuario sospeche que está dando información a los delincuentes (lo único que ve es abrirse la aplicación de su banco).

El software pirata envía después esta información a unos servidores controlados por los delincuentes. Además, este virus puede leer y enviar SMS, realizar llamadas, borrar aplicaciones, acceder a los contactos (lo que puede servir para reenviarles a su vez otro mensaje que sirva de puerta de entrada al virus) o leer las notificaciones y, por tanto, saber qué mensajes de los que recibe el teléfono contienen códigos de un solo uso para autorizar transacciones o inicios de sesión.

Aunque aún no se ha establecido relación con Flubot, la semana pasada los Mossos d'Esquadra detuvieron en Barcelona a cuatro hombres acusados de un delito de estafa y pertenencia a banda criminal. Habían enviado 71.000 mensajes SMS con este tipo de enlaces trampa para conseguir los datos bancarios de las víctimas.

Los mensajes parecían proceder de empresas de telefonía, bancos, aseguradoras o mensajerías y afirmaban que se cancelarían las claves y contraseñas del usuario si no accedía al enlace que se indicaba. Al pulsar la víctima sobre ese link se le redirigía a las páginas que habían creado los presuntos estafadores, con un aspecto muy similar al de las reales y un formulario para el acopio de datos personales. Cuando la víctima proporcionaba dicha información, los delincuentes duplicaban la tarjeta SIM del teléfono atacado para que no le llegaran los avisos sobre el fraude que estaba sufriendo y compraban teléfonos móviles de gama alta con los datos de las tarjetas bancarias expuestas.

Para evitar caer en este tipo de trampas, las autoridades realizan cinco recomendaciones básicas:

■ No responder mensajes de texto procedentes de desconocidos.

■ No instalar aplicaciones a partir de un mensajes de texto.

■ Antes de abrir un mensaje de texto que parezca sospechoso, verificar su autenticidad por canales oficiales o recurriendo a la empresa que supuestamente lo envía.

■ No pulsar sobre ningún enlace de un mensaje.

■ No facilitar ninguna información personal que se solicite mediante SMS.