Aloha electroniker! Esta semana ando muy perdido, no sé sobre qué escribir. ¿Será la lluvia? ¿La vida pandémica? ¿El Arduino Day que se acerca?

No lo sé, pero un amigo me ha enviado una captura de pantalla dónde FedEx lo instaba a ver dónde estaba su paquetea través de un sms. Pero el enlace era un poco raro y mi amigo dudó… y qué bien hizo dudando…

¿Destripamos juntos este mensaje que ha aparecido ya en 60.000 teléfonos?

El FluBot que ataca tu smartphone

Como ya sabrás (Y si no lo sabes, para esto está este post) se trata de una estafa. En ella se utiliza el nombre de FedEx pero parece que hay varios modelos de sms. Algunos nombran a FedEx, otros no, en algunos aparece tu nombre, en otros no…

Lo que no falla es el link con un dominio de internet desconocido. Y ya sabes cómo vamos, siempre con prisas… Y siempre con curiosidad de por dónde irá nuestro pedido (Si es que la hicimos). Y pulsamos el enlace.

Y nos lleva a una web dónde se nos descarga una aplicación apk (Sí, por ahora solo afecta a Android). Y con las ganas de ver el tracking de nuestro producto instalamos la aplicación… Y un malware llamado FluBot se aloja en nuestro teléfono. Y se arma…

Cómo se instala en nuestro teléfono

FluBot viene a querer decir el robot de la gripe porque se contagia rápidamente entre personas. 60 mil personas han sido estafadas y el malware ya dispone de 11 millones de números de teléfono. El 97% españoles.

Y es lógico que se centre en España por su funcionamiento utilizando números de tu agenda… Pero eso ahora lo vemos. Primero centrémonos en qué pasa en el momento de la descarga de la apk.

A día de hoy nos aparece un mensaje de Google Play avisando de que puede tratarse de un software fraudulento, hace un tiempo no. Ahora ya casi el 25% de los teléfonos españoles están fichados… Pero bueno, aun así uno se puede instalar la apk si va con prisas.

Tantas prisas que se despista y cuando Android le pregunta: “¿Quieres permitir que FedEx pueda controlar totalmente tu dispositivo?” pulsa “Permitir”.

A partir de ese momento le hemos dicho a Android que esa app puede “Ver y controlar la pantalla” y “Ver y realizar acciones”. Y lo que hace la app es cambiar la aplicación de SMS por otra. Ahora ha secuestrado nuestros SMS pasados y futuros y no nos notifica de lo que va llegando nuevo. Y esto es más peligroso de lo que inicialmente puede parecer…

      He leído y acepto la política de privacidad

 

Información básica sobre Proteción de datos

Responsable ➥ Sergio Luján Cuenca
Finalidad ➥ Gestionar el envío de correos electrónicos con artículos, noticias y publicidad. Todo relacionado con los temas de rufianenlared.com
Legitimación ➥ Consentimiento del interesado
Destinatarios ➥ Estos datos se comunicarán a MailRelay para gestionar el envío de los correos electrónicos
Derechos ➥ Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la política de privacidad
Plazo de conservación de los datos ➥ Hasta que se solicite la supresión por parte del interesado
Información adicional ➥ Puedes encontrarla en la política de privacidad y el aviso legal

El secuestro de tus SMS

La nueva app no nos notifica la recepción de nuevos SMS porque no le interesa, claro está. La próxima vez que entres a tu aplicación bancaria, la app del supuesto “FedEx” habrá sustituido el lugar dónde pones la contraseña por otra pantalla para robarte tu contraseña y DNI.

DNI que podría leer directamente de la pantalla porque normalmente no aparece con las estrellas, o simplemente de tus SMS antiguos. Por lo que la tragedia está servida y ya podemos irnos tranquilamente a descansar porque la aplicación irá haciendo transferencias de unos 1000€ al lugar que ella crea oportuno. Cuando lleguen los SMS de confirmación no te avisará y se encargará de insertar los códigos que te envía el banco para aceptar la transferencia.

Y la vida seguirá hasta que te des cuenta de que no recibes SMS de tus amigos (Sí, algunos envían SMS para recordar viejos tiempos) o cuando entres en tu cuenta bancaria y veas que el montante ha bajado mucho en los últimos días.

El secuestro de tus contactos

Pero, ¿Cómo llegó el primer mensaje a tu teléfono? La app toma los números de teléfono y los gestiona para que sean enviados desde otro teléfono secuestrado, de manera que el SMS no te lo envíe ningún conocido tuyo y la cosa parezca más creíble.

Esto también nos puede ayudar a darnos cuenta de que es una estafa ya que si en lugar de un mensaje que pone tu nombre, te llega uno que pone ‘Cari’, ‘Amor’ o el mote de tu infancia, seguramente no piques.

De manera que la app puede tomar nuestros contactos y además de no mostrarnos los SMS que recibimos, puede enviar otros.

Cómo deshacerse de la app

Si tu teléfono Android está infectado por FluBot seguramente ya hayas comprobado que tienes la app de FedEx en lugar de la de SMS, o que tus amigos te han enviado un SMS y no te ha llegado, o que tu compañía telefónica te está cobrando unos SMS que tú no has enviado o que simplemente tu dinero ya no es el que era…

Pero se puede salir de FluBot. Para ello lo primero que puedes intentar es entrar en modo seguro como lo harías en un PC y tratar de desinstalar la app. ¿Por qué en modo seguro? La app te va a bloquear Google Play para que no puedas desinstalarla por lo que cuando entres a Google Play, simplemente se saldrá.

Además no podrás modificar los permisos de la app en la configuración del sistema ya que otra vez se saldrá. Es una forma muy sutil de decirte que algo pasa y hay que revisar ese teléfono.

Si aun así no puedes, otra manera es restablecer el teléfono a los ajustes de fábrica. Mientras haces alguna de las dos cosas, sería útil quitar la tarjeta SIM físicamente de manera que eso de enviar SMS se acabe y puedas estar tranquilo de que no se están haciendo transferencias a tu nombre.

¿Se podría combatir este tipo de fraudes en el futuro?

Bueno, todo esto nos demuestra que el pago con móvil está bien pero que puede tener riesgos. Debemos de fijarnos al utilizar el teléfono y no ir muy locos sino, se puede armar…

Por otra parte, que también hay gente con muchas capacidades ahí fuera, porque que se te ocurra secuestrar los SMS ya que sabes que todos los códigos se centralizan ahí, es una cosa que entiendo que no habíamos pensado la mayoría de mortales.

Tal vez es momento de cambiar las reglas del juego y buscar otras maneras de identificarnos. Desde el 1 de Febrero se aplica la Autenticación Reforzada de Clientes que intenta paliar esto mediante el uso del conocimiento, la posesión y la inherencia.

Es decir, necesito una contraseña que conozco (conocimiento), un teléfono que es mío (posesión) y a algo mío, como puede ser una foto o huella dactilar (inherencia). La app conoce nuestra contraseña, tiene nuestros SMS y tiene nuestra huella por lo que puede saltarse esas barreras.

Algunas compañías (No diré el nombre), en el SMS te envían un código que obliga a hacer una operación matemática con el PIN de tu tarjeta, otro conocimiento distinto al de la contraseña de la banca electrónica y que no sería hackeable por la app si no pidiese un recordatorio de PIN por nosotros…

Aun así, esta app se continua actualizando con nuevas mejoras, así que mejor estar muy atentos a qué links pulsamos. Así en general, como forma de vida….