Flubot, el falso SMS de Fedex que lleva detrás un sofisticado y peligrosísimo virus de Android: cómo funciona para lograr robar dinero de la app del banco a sus víctimas

Flubot, el falso SMS de Fedex que lleva detrás un sofisticado y peligrosísimo virus de Android: cómo funciona para lograr robar dinero de la app del banco a sus víctimas

171 comentarios Facebook Twitter Flipboard E-mail
Flubot, el falso SMS de Fedex que lleva detrás un sofisticado y peligrosísimo virus de Android: cómo funciona para lograr robar dinero de la app del banco a sus víctimas
alesya-mo-y-antonio-saban

Alesya Makarov y Antonio Sabán

En los últimos tiempos hemos visto muchas estafas que llegan vía SMS suplantando a empresas de mensajería, pero ninguna tan sofisticada y peligrosa como la que está llegando en forma de falso aviso de Fedex (esta empresa solo es su forma actual, puede cambiar con el tiempo). A nivel técnico es tan compleja y "bien" ejecutada que potencialmente llega a tomar el control total del dispositivo (si es Android) y acceder a nuestras cuentas bancarias.

Se calcula que 60.000 dispositivos han sido infectados ya en todo el mundo, perteneciendo la mayor parte de ellos a España, y más de 11 millones de números de teléfono españoles recopilados y almacenados por los atacantes, según la compañía de seguridad suiza PRODAFT. Los investigadores de la misma le han dado un nombre a este nuevo virus: FluBot.

Desde Xataka hemos analizado tanto el proceso como el virus final que se instala. Los atacantes son capaces de acceder al dispositivo infectado y a las cuentas bancarias en muchos casos, e incluso a operar con ellas y retirar nuestro dinero sin hacer ruido. La única forma de darnos cuenta puede ser cuando se nos ocurra entrar a la aplicación del banco y veamos que ya es tarde, que el dinero ya no está. Un virus muy peligroso que ha disparado su propagación en los últimos días.

Un SMS inocente que puede dejarnos sin ahorros

"Hola Alesya, su envío se entregó el 4/09-2020 en el punto de entrega. Vea dónde puede recoger su paquete aquí [URL ELIMINADA]

Este es el formato típico del mensaje que ha llegado a quien escribe estas líneas, de la misma forma que ha llegado a muchísimas personas según hemos constatado varias personas del equipo de Xataka en nuestros entornos cercanos.

Ale Sms

Lo primero que me choca es que no usan mi nombre correctamente. Mi nombre se escribe de forma diferente en el DNI a cómo se pronuncia y me suele conocer la gente, por lo que una empresa de paquetería debería usar mi nombre de pila para informarme. Eso ocurre porque la persona infectada ha dado acceso a todos sus contactos y usan el nombre con el que te ha guardado el contacto en cuestión: "Alesya trabajo", "Mamá", "Héctor móvil"... Cualquiera de esos formatos es lo que uno se puede encontrar cuando te llega el mensaje, aparte de por supuesto el nombre de pila y apellido.

Al pulsar en el enlace me llevó a una página en la que me indicaba que tenía que descargar una app para continuar con la gestión. Este paso es crítico. Una vez instalas la aplicación (no lo hagas bajo ningún concepto), llegan los problemas.

Fedex

Este es el primer permiso que solicita la falsa aplicación de Fedex:

Permiso

Es algo que debería hacer saltar las alarmas a cualquiera que se pare a leer esas tres líneas, pero que para quien vive en la dinámica de aceptar cualquier banner sin leer puede derivar en un permiso que puede resultar fatal.

Este fue el caso de los suegros de un usuario de Forocoches que explicó su caso, que de la noche a la mañana perdieron todos sus ahorros de su cuenta de Ibercaja, nada menos que la friolera de 50.000 euros según ha explicado este usuario con varios detalles en dicho foro. Hemos tratado de ponernos en contacto con él sin haber recibido respuesta en el momento de la publicación de este artículo.

Después hablamos con Isaac, dueño de una tienda de telefonía en Reinosa (Cantabria) donde repara terminales y soluciona problemas técnicos de sus clientes. En los últimos días han acudido a él tres clientes distintos víctimas de esta misma estafa. Llegaron a instalar la aplicación, y un tercero accedió a sus cuentas bancarias. Según nos cuenta este técnico, a uno de ellos le robaron 23.000 euros creando tarjetas prepago de 1.000 euros hasta vaciar su cuenta. Ninguno de ellos dijo haber recibido un SMS de verificación del acceso ni de las transacciones. Es parte de la estafa, que secuestra la recepción de mensajes y el usuario ni siquiera puede acceder a ellos.

Otro detalle es que los móviles afectados pueden llegar a enviar decenas o centenares de SMS sin saberlo con el fin de intentar captar nuevos afectados, por lo que la estafa no sólo puede ocurrir con los ahorros que tengan en el banco: si tienen una tarifa donde tengan que pagar por cada envío, pueden ver un gran aumento en su factura por este concepto.

¿Qué hago si recibo el mensaje?

El mensaje te llega porque uno de tus contactos está infectado. La persona que ha instalado la "app de Fedex" da acceso a toda su lista de contactos, y ahí es donde encuentra ese nombre asignado a cada número. A veces es fácil discernirlo porque el nombre que usan puede ser "Alesya trabajo", por ejemplo, o "Mamá", según el nombre que te haya puesto tu contacto en su agenda de teléfono. No pasa nada por haber recibido el mensaje, simplemente hay que ignorarlo y no pulsar su enlace.

Captura De Pantalla 2021 03 05 A Las 12 13 52 Pantallazo de mi propio teléfono al avisar a la persona que me había mandado el SMS con el "supuesto paquete".

La estafa de la aplicación afecta a smartphones con Android, pero eso no quiere decir que los usuarios de iPhone y iOS no reciban el mismo SMS. Lo que cambia es que, al detectar las webs maliciosas que se está accediendo a ellas desde iOS, algo que hacen identificando el user-agent del navegador, no se nos ofrece la descarga e instalación de una aplicación falsa de Fedex.

Moviles

En su lugar, el destino final del navegador será una web de phishing que simula tener el aspecto de Amazon, felicitándonos por “haber sido seleccionado al azar para completar una encuesta”. Según la web, si la rellenamos nos darán “un premio increíble: Apple iPhone 12 Pro”. Lo que persiguen es conseguir nuestros datos y que les paguemos cantidades de dinero por, supuestamente, el envío de ese falso premio y similares. Esta estafa es más común y es parecida a la del SMS de Correos del que hablamos en 2019.

¿Algún familiar o conocido tuyo sin muchos conocimientos de tecnología ha recibido este mensaje?

Qué hace la aplicación de FedEx y por qué es tan peligrosa

La aplicación de FedEx es extremadamente peligrosa porque secuestra nuestra aplicación de SMS y la sustituye por otra con un aspecto similar para acceder a todos nuestros mensajes antiguos y aquellos que recibamos a partir de la instalación. Al tener también la capacidad de enviar SMS, la aplicación enviará la estafa a otros números de teléfono obtenidos por los atacantes gracias a que también accede a las agendas.

Además, gracias a contar con permisos de accesibilidad (uno de los de mayor quejarquía en Android) concedidos por las víctimas, la aplicación es capaz de controlar todo lo que pasa en nuestra pantalla y acceder a todos los datos que se muestren en ella, como contraseñas, identificadores como DNI, etc. Todos ellos pueden ser utilizados para acceder a las cuenta bancarias y hacer transferencias sin que las víctimas tengan constancia.

Accesibilidad

Como el propio sistema indica, si damos permisos de accesibilidad, la aplicación falsa de FedEx podrá “controlar totalmente el dispositivo”, podrá “ver y controlar toda la pantalla” y “ver y realizar acciones”. Es decir, podrá ver todo lo que escribamos y la información que muestren nuestras aplicaciones, e incluso hacer pulsaciones fantasma en la pantalla, cerrarlas, etc. Según nos cuenta el experto desarrollador en Android Linuxct, la aplicación puede hacerlo gracias al tap-jacking, un proceso por el cual se autoconcede permisos al tocar la pantalla.

El sistema cuida detalles como no enviar un SMS a nuestros contactos, sino hacer que sean otros números quienes les escriban para no levantar sospechas

Al conceder este permiso con el botón ‘Permitir’ que muestra la interfaz de aviso del sistema, la aplicación maliciosa tiene, además, capacidad de leer todos nuestros SMS, contactos, y puede incluso realizar llamadas, conectarse a internet y funcionar en segundo plano.

Y eso es lo que hará a partir de ahora minuto a minuto, monitorizar qué SMS enviamos y recibimos y cuáles son nuestros contactos, para que los atacantes puedan enviarles mensajes similares y que ellos se infecten. Si nuestro móvil se ha infectado recopilará nuestros contactos pero no les enviará a ellos el mensaje de FedEx en nuestro nombre. En su lugar, nuestros contactos serán obtenidos por los atacantes para enviarles el mensaje desde el móvil de otra víctima que no les tenga en su agenda, para que el remitente no les resulte familiar.

Gracias al mencionado tap-jacking, la aplicación ahora se mueve con total libertad, y la primera acción visible que realiza es sustituir la aplicación predeterminada de mensajes SMS por una que tiene el mismo aspecto. De esta forma, todos los SMS que recibamos serán leídos por la aplicación, pero sin notificarnos. Con todo esta esta información, los atacantes están listos para, además de propagar el SMS de la estafa masivamente, comenzar a ganar dinero vaciando cuentas de las víctimas.

Cómo consiguen dinero los atacantes al instalar las víctimas la aplicación

Con el permiso de accesibilidad activado y el tap-jacking, que permite monitorizar todas las aplicaciones que abrimos, lo que hacemos en ellas y todos los datos como códigos, contraseñas o credenciales, junto con la lectura de todos nuestros mensajes SMS, los atacantes pueden obtener ya información altamente sensible.

Con el control total del dispositivo es muy fácil ver o extraer nuestro DNI y la clave que usamos para nuestra app del banco, a partir de ahí y sin que veamos los SMS pueden vaciar nuestra cuenta

Esta puede ser nuestro DNI, el PIN que hemos introducido para acceder a nuestra cuenta bancaria a través de la aplicación oficial del banco y los códigos de verificación que llegan por SMS.

Para robar esa contraseña de la aplicación del banco, la app de FedEx muestra una ventana falsa para obtener credenciales, pero puede hacerlo incluso capturando los datos que aparecen en pantalla. También es posible que el DNI se obtenga de mensajes viejos donde podemos tenerlos por algún comunicado o notificación de empresa o plataforma.

Gracias a tener acceso a nuestros SMS, y lo que es más importante, a secuestrarlos sin que nos enteremos de que nuestro smartphone los está recibiendo, ahora los atacantes, si tienen en su poder nuestras credenciales, pueden comenzar a realizar transferencias de dinero a sus cuentas de destino, vaciando así las nuestras.

Los SMS que deberíamos recibir para autorizar dichas transferencias llegarán, pero sin que las víctimas lo sepan al no poder acceder ni a la aplicación real de mensajes ni a las notificaciones de estas, de forma que los atacantes podrán usarlos para realizarlas y robar grandes cantidades. Y todo ello, sin que la víctima tenga manera de saber que está perdiendo el dinero hasta que vea en su cuenta que ha desaparecido sin haberlo autorizado.

Cómo sé si estoy infectado por la aplicación

Desde Xataka nos hemos puesto en contacto con el desarrollador Linuxct que, además de estar sorprendido por lo sofisticado del funcionamiento de la aplicación maliciosa, nos resalta que su código es cambiante gracias a que puede ejecutar actualizaciones de código descargadas de Internet, es decir, que puede actualizarse por sí misma con el paso del tiempo mediante comunicaciones cifradas. Desinstalar la aplicación es bastante difícil tras haber dado permisos de accesibilidad, y esta naturaleza cambiante puede hacerlo más difícil todavía.

Por tanto, saber si tu smartphone está infectado puede no ser siempre un proceso totalmente común a otros casos. En general, por lo que se observa con la aplicación descargada desde enero, y en concreto con la de FedEx de las últimas horas, hay algunas formas de descubrir si estamos infectados:

  • Si nuestra aplicación de mensajes SMS por defecto (la de Google o la del fabricante) ha cambiado a la de Fedex. Su interfaz es como esta, al menos en su última versión.
Interfaz con fondo morado y botón "+Redactar". Si esta interfaz la tiene nuestra app de mensajería por defecto, estamos infectados.
  • Buscando "FedEx" entre nuestras aplicaciones instaladas si hemos recibido el SMS y hecho el proceso de instalación. Es posible que esta aplicación se pueda ocultar, pero si está en nuestra lista de aplicaciones, estamos infectados sí o sí. Dado que la aplicación que suplanta a la de Mensajes del sistema secuestra todos los SMS que recibimos, podemos pedir a familiares que nos envíen algún SMS para ver si nos llegan. Si no, eso significaría que estamos infectados.

  • Tratando de abrir Play Store para instalar otras aplicaciones. En al menos dos de los smartphones infectados que hemos analizado, la aplicación maliciosa, gracias al permiso de accesibilidad concedido, es capaz de cerrar Play Store sin que podamos hacer nada. Si vamos a los ajustes de aplicaciones predeterminadas a cambiar la aplicación de mensajes, podemos ver cómo FedEx se ha establecido como predeterminada. En el caso de que podamos llegar a ese menú (cabe la posibilidad de que los ajustes se cierren) también es posible que Fedex no permita realizar el cambio de aplicación predeterminada.

Cómo desinstalar esta aplicación

Fedex

Hay tres formas principalmente de eliminar esta aplicación, tanto desde el propio teléfono como desde el PC, y las detallamos paso a paso a continuación.

Opción 1: Usando el modo seguro

La forma más sencilla es usar el modo seguro. Este es el modo que tiene Android para que solo se ejecuten las apps básicas del sistema, pensado precisamente para poder desinstalar aquellas que den problemas. Al modo seguro se accede de forma muy sencilla en buena parte de los teléfonos, aunque en otros cambia.

En móvil con Android puro y similares

Simplemente tienes que dejar pulsada la opción de apagar del menú que aparece al pulsar el botón de encendido y apagardo, la cual te permitirá reiniciar en modo seguro.

En móviles Samsung

Para activar el modo seguro en un Samsung sigue estos pasos:

  • Apaga el dispositivo
  • Mantén presionada la tecla Encendido hasta que aparezca en la pantalla el nombre del teléfono
  • Cuando “SAMSUNG” aparezca en pantalla, suelta la tecla Encendido
  • Inmediatamente después de soltar la tecla Encendido, mantén presionada la tecla Bajar volumen.

En móviles Huawei

En los móviles Huawei estos son los pasos para activar el modo seguro.

  • Apaga el teléfono
  • Pulsa el botón de encendido y el botón de volumen+
  • Espera hasta que aparezca una nueva pantalla
  • En esta pantalla, pulsa sobre 'Modo seguro'

Este modo deshabilita todas las aplicaciones que se hayan instalado, por lo que este APK no podrá correr, pero sí ser desinstalado de forma manual. La ruta es la siguiente:

Modo Seguro
  • Abre los ajustes del teléfono
  • Ve al menú de aplicaciones
  • Busca FeDex y pulsa sobre ella
  • Dale a 'desinstalar'

Opción 2: Formatear o restablecer el terminal de fábrica

Otro método para acabar con la aplicación maliciosa es formatear el terminal de fábrica, como tienes detallado aquí, elimina todas las aplicaciones de terceros así como los archivos que puedan quedar en el móvil. Debido a la diversidad de capas de personalización que hay en Android, algunos lo incluyen en el apartado de Copia de seguridad, otros en Cuentas de usuario, otros en Seguridad. Si eres incapaz de encontrarlo, usa el buscador en la parte superior para buscar por "restaurar" o "restablecer". Para realizar un formateo tienes que seguir estos pasos.

Borrar Datos
  • Abre los ajustes del teléfono
  • Pon en el buscador "restaurar" o "restablecer"
  • Pulsa sobre la opción de "borrar todos los datos" o "borrar todo", etc.
  • Espera a que el teléfono se reinicie por completo.

Opción 3: Desinstalar la aplicación con ADB desde un ordenador

Por último, el método más complicado y enfocado a expertos, es el de eliminar la aplicación mediante comandos ADB. En resumidas cuentas, utilizaremos la consola de comandos de Windows o macOS para eliminar la aplicación desde allí. En primer lugar, es necesario tener los drivers ADB instalados, tanto en Windows como en macOS.

Una vez tengamos los ADB Drivers instalados, tendremos que activar la depuración USB desde las opciones de desarrollador. Para llegar a las mismas hay que seguir estos pasos.

Opciones De Desarrollador
  • Abrimos los ajustes del teléfono
  • Nos vamos a 'acerca del teléfono', 'información sobre el teléfono' o similar
  • Buscamos 'número de compilación' y pulsamos sobre él siete veces
  • Volvemos al menú de ajustes
Opciones Desarrollador
  • Pulsamos sobre 'sistema'
  • Pulsamos sobre 'opciones avanzadas'
  • Nos vamos a las opciones de desarrollador
  • Activamos la 'depuración USB'.

Una vez activamos la depuración USB, conectamos el móvil al PC y abrimos una consola de comandos. En el caso de Windows lo hacemos introduciendo la palabra 'terminal' en la barra de búsqueda, mientras que en macOS haremos lo mismo, en este caso en la lupa de búsqueda.

Terminal

Una vez se hayamos conectado el móvil tendremos que realizar estos pasos para eliminar la aplicación:

  • Abre la consola de comandos
  • Escribe "adb shell"
  • Escribe el comando "pm uninstall com.tencent.mm"

Listo. De esta forma, la aplicación se eliminará de tu teléfono y no debe volver a dar problemas. Como siempre, en estos casos, recomendamos tener especial cuidado con los APK externos, máxime si el propio sistema operativo nos indica que puede entrañar peligros.

En el comando hemos incluido "com.tencent.mm" porque es el nombre interno del paquete de la aplicación de FedEx, con el que Android la instala. Los atacantes podrían cambiar ese nombre en el futuro, y que para desinstalarla hiciera falta escribir un comando con el nuevo nombre. De momento, por lo visto en esta estafa desde enero, podemos decir que ese nombre no ha variado.

Más sobre este virus:

Actualización: De forma paralela a la publicación de nuestro artículo, investigadores de la compañía suiza PRODAFT han publicado su propio informe sobre esta aplicación maliciosa. En él detallan el mismo funcionamiento que hemos explicado, aunque aportan cifras de afectados (60.000 estimados en España, habiendo conseguido ya los números de teléfono del 25% del total de la población) y le dan un nombre a este virus: Flubot. Hemos actualizado el contenido para añadir ambas cosas.
Comentarios cerrados
Inicio