FluBot se hace pasar por empresas de logística y entra en el Top 3 de los malware ¿Cómo eliminar FluBot?

FluBot se hace pasar por empresas de logística y entra en el Top 3 de los malware para móviles más usados a nivel mundial.

Check Point Research informa de que el Infostealer, Formbook, es el malware más frecuente, mientras que el troyano bancario, Qbot, ha desaparecido de la lista.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd, un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de agosto. Formbook es el malware más extendido, desbancando a Trickbot que desciende del trono al segundo puesto tras un largo reinado de tres meses.

El troyano bancario Qbot ha desaparecido por completo del top 10 tras una larga temporada presente en la lista, mientras que Remcos, un troyano de acceso remoto (RAT), ha entrado en el índice por primera vez en 2021 y ya ocupa el sexto lugar.

Formbook se vio por primera vez en 2016 y es un infostealer que recopila las credenciales de varios navegadores web, reúne capturas de pantalla, monitoriza y registra las pulsaciones de las teclas, y es capaz de descargar y ejecutar archivos de acuerdo con sus órdenes de comando y control (C&C). Recientemente, Formbook se ha distribuido a través de campañas temáticas de COVID-19 y correos electrónicos de phishing. En julio de 2021, Check Point Research informaba de que una nueva cepa de malware derivada de Formbook, llamada XLoader, se estaba dirigiendo a los usuarios de macOS.

«El código de Formbook está escrito en C con inserciones de ensamblaje e incluye una serie de engaños para hacerlo más evasivo y difícil de analizar para los investigadores», dijo Maya Horowitz, vicepresidenta de investigación de Check Point Software. «Como suele distribuirse a través de emails y archivos adjuntos de phishing, la mejor manera de prevenir una infección de este infostealer es estar muy atento a cualquier email que parezca extraño o que provenga de remitentes desconocidos. Como siempre, si no parece que sea bueno, probablemente no lo es».

Asimismo, los expertos de la compañía señalan que “La revelación de información del servidor web Git«, es la vulnerabilidad explotada más común –  que ha afectado 45% de las empresas a nivel mundial-, seguida de «La ejecución de Código Remoto en encabezados HTTP” que impactó a más del 43%. «Dasan GPON Router Authentication Bypass» se sitúa en tercer lugar, afectando al 40% de los negocios en el mundo.

Los 3 malware más buscados en España en agosto:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↔ Trickbot – Trickbot es un troyano bancario dominante que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que sea un malware flexible y personalizable que puede ser distribuido como parte de campañas multipropósito. Ha afectado a un 5,85 % de las empresas españolas.
2. ↔ Formbook – Detectado por primera vez en 2016, FormBook es un InfoStealer que apunta al sistema operativo Windows. Se comercializa como MaaS en los foros underground de hacking por sus fuertes técnicas de evasión y su precio relativamente bajo. FormBook cosecha credenciales de varios navegadores web, recoge capturas de pantalla, monitoriza y registra las secuencias de teclas, pudiendo descargar y ejecutar archivos según las órdenes de su C&C. Ha atacado al 5,26 % de las compañías en españolas.
3. ↑ Remcos – Remcos es una RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. Ha atacado a un 3,36 % de las organizaciones en España.

Top 3 vulnerabilidades más explotadas en agosto:

1. ↔ Revelación de información del servidor web Git – La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permite compartir de forma involuntaria información de la cuenta.
2. ↔ Ejecución remota de código en encabezados HTTP (CVE-2020-13756) – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuenteremoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.
3. ↑ Bypass de autentificación del router Dasan GPON – una vulnerabilidad de autenticación de bypass que existe en los routers Dasan GPON. La explotación de esta vulnerabilidad permite a los ciberdelincuentes obtener información sensible y acceder en remoto sin autorización al sistema afectado.

Top 3 del malware móvil mundial en agosto:

1. xHelper – aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. AlienBot – Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
3. FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing, la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.

El Índice Global de Impacto de Amenazas de Check Point y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

¿Qué es Flutbot?

FluBot es un malware dirigido a Android que se hace pasar por otras aplicaciones en el teléfono de una víctima para robar sus credenciales bancarias y otra información privada. Se propaga a través de SMS y puede escuchar las notificaciones entrantes, leer y escribir SMS, hacer llamadas y transmitir toda la lista de contactos de las víctimas a su centro de control. El virus también atrae a las víctimas para que cambien la configuración de accesibilidad en sus teléfonos, prohibiéndoles desinstalarlo. Si también es víctima de FluBot y no puede eliminarlo de su teléfono inteligente, debe usar una aplicación llamada «malinstall» para deshacerse de este malware.

FluBot se transmite principalmente a través de enlaces web compartidos a través de SMS. Estos SMS tienen textos persuasivos que incitan al usuario a hacer clic en el enlace, que generalmente apunta a un sitio web pirateado donde está alojado el paquete de instalación de FluBot. El instalador del malware está oculto dentro de otros APK de aspecto genuino. Cuando los usuarios descargan e instalan estos APK, FluBot también se instala en sus dispositivos. Luego, este malware invita a los usuarios a otorgar acceso al servicio de accesibilidad de Android y, una vez que eso sucede, puede ejecutar toques en la pantalla y otros comandos sin el conocimiento del usuario.

¿Cómo eliminar FluBot?

Uno de los aspectos más preocupantes del malware FluBot es que una vez que obtiene acceso a los servicios de accesibilidad, evita que los usuarios lo desinstalen. Cuando un usuario intenta desinstalar una aplicación infectada, recibe un mensaje de brindis que dice: «No puede realizar esta acción en un sistema de servicio», al forzar el cierre de la aplicación Configuración, y eso lo hace aún más espantoso. Para abordar este problema, XDA Recognized Developer linuxct ha creado una aplicación de código abierto llamada malninstall.

Para desinstalar FluBot, malninstall se establece temporalmente como el iniciador predeterminado. Esto impide que el malware simule toques no deseados en la interfaz de usuario y permite que el usuario lo desinstale con éxito sin ningún obstáculo. Una vez que se completa el proceso de desinstalación, malninstall solicita a los usuarios que vuelvan al iniciador anterior. Puedes verlo en acción en el siguiente video:

Si está infectado por FluBot, puede descargar la última versión de malninstall desde GitHub haciendo clic o tocando aquí . También puede encontrar todas las versiones anteriores en la página de GitHub.

La lista completa de las 10 familias principales de malware en agosto está disponible en el blog de Check Point Software.

 

. Leer artículo completo en Frikipandi FluBot se hace pasar por empresas de logística y entra en el Top 3 de los malware ¿Cómo eliminar FluBot?.