Flubot, la estafa SMS de FedEx en Android, ahora llega bajo el nombre de MRW en un mensaje así: "El envio se ha devuelto dos veces"

Flubot, la estafa SMS de FedEx en Android, ahora llega bajo el nombre de MRW en un mensaje así: "El envio se ha devuelto dos veces"
5 comentarios Facebook Twitter Flipboard E-mail

El año 2021 comenzó con mensajes de texto SMS enviados, supuestamente, por Correos que nos recordaban que "tu envío está en camino" y usando como señuelo que algún paquete o carta nos estaba llegando, mandaba a sus usuarios acceder a un enlace. En la web de destino, la supuesta Correos nos instaba a que para seguir un envío pendiente, teníamos que descargar una aplicación para Android. Y ahí se descargaba un archivo apk malicioso, llamado Correos.apk o Correos-3.apk.

Desde entonces, este patrón se fue repitiendo con DHL y con Fedex, otros dos gigantes de mensajería que operan en España. Este malware de estafa a través de un SMS fue bautizado como Flubot y ahora está de vuelta, esta vez con MRW. Tienes que estar atento porque no es broma lo que está consiguiendo: a comienzos del mes de marzo la empresa suiza PRODAFT estimaba que más de 60.000 terminales Android habían sido infectados y 11 millones de números de teléfonos robados. La última cifra representa al 25 % de los habitantes de España.

Malware Hunter Team reportó en su Twitter haber descubierto estos códigos:

"mrw-1.apk": 8ad776c24baffce19f92e00714f79703bd87319b1255cf6a4c6f888d661eb0f4

"mrw-2.apk": c42ae7e78589e354ee15539dc5e3f820b6d91d79b37f4c652a13f924fb054505

El envío ha sido devuelto

Ksnlksnlfksndfkfsn

Josep Albors, cazador de malware y evangelista de seguridad, como se presenta en su Twitter, mostró un ejemplo de cómo es este nuevo caso de pshishing. Recibes un sms en tu teléfono que te dice: ":El envio se ha devuelto dos veces al centro mas cercano codigo:" (esos dos puntos extra que no significan nada y la carencia de tildes o comas son la forma exacta en la que aparece el SMS). Tras decir "codigo:" aparece una combinación de letras y numeros y un enlace.

Sin Titulonl Nl Nl Nl Nl Nl

Si accedes al enlace, llegas a una web con el logo de MRW, un enlace sobre un recuadro en color naranja que te pide descargar una aplicación para darte una información y otro enlace que dice indicarte cómo puedes instalarlo. Y da unas instrucciones para que puedas descargarte bien ese enlace que ellos quieren que te descargues y que supuestamente te dirá dónde están las oficinas cercanas dónde puedes recoger ese paquete.

Qué puede conseguir Flubot y cómo eliminarlo

Aunque aún falta por conocer más a fondo qué podría conseguir MRW, sí se sabe que quienes están detrás de Flubot son capaces de acceder a nuestro dispositivo y a nuestras cuentas bancarias hasta llegar al punto de retirar dinero de las mismas sin que los usuarios afectados lo puedan percibir.

PRODAFT, quien investigó el impacto de las campañas de las otras compañías de mensajéria, pudo ver en el panel de control que, a pesar de su visión simplista, este malware fue capaz de manejar decenas de miles de conexiones con dispositivos infectados "sin ningún problema de rendimiento".

Hay que recordar que esta infección ya tiene una solución. A mediados de marzo, Linuxct, un desarrollador Android experto en seguridad, lanzaba en el Play Store FluBot Malware Uninstall, una pequeña utilidad que afirma que desinstala el malware Flubot de smartphones con Android en pocos pasos. Se trata de algo relevante porque dados los permisos que las víctimas concedían, no era sencillo desinstalarla manualmente.

En lugar de lanzar una aplicación común, que Flubot podría controlar y evitar, el desarrollador de FluBot Malware Uninstall la ha diseñado como launcher de Android. De esta forma, cuando Flubot controla el terminal dando toques para volver a Inicio al detectar que se quiere desinstalar, lo que hace es llevarnos al propio desinstalador del malware.

Comentarios cerrados
Inicio