El año 2021 comenzó Flubot con mensajes de texto SMS enviados supuestamente por Correos cuyo mensaje era similar a "tu envío está en camino". Estos estafadores adjuntaban un enlace engañoso que hacia que los usuarios se descargasen una app (apk) maliciosa.

Desde entonces, el mismo modus operandi se fue repitiendo con Fedex y DHL, otras dos empresas de mensajería que trabajan en España. Este malware de estafa a través de SMS parecía que apaciguaba conforme las personas se iban informando e ignorando sus intentos de estafa; sin embargo, ahora han vuelto al ataque, esta vez con MRW. Estate muy atento a los mensajes que te lleguen a tu teléfono móvil de ahora en adelante porque nadie está protegido de este virus.

Josep Albors, cazador de malwares, escribió el 30 de marzo el siguiente Tweet, reportando un nuevo intento de estafa de la mano de Flubot: "SMS enviados desde un teléfono en Alemania y usando una nueva plantilla MRW para descargar la aplicación maliciosa".

SMS sent from a phone in Germany and using a new MRW template to download the malicious app. Pic.twitter.com/Z1fCwREW06

Como podemos observar, parece que ahora el mensaje que envían dice que "El envío se ha devuelto dos veces al centro más cercano" y se adjunta un código para aparentar una mayor veracidad. Si accedes al enlace, llegas a una web con el logo de MRW; en ella se te pide descargar una aplicación, y dan unas instrucciones para que puedas descargarte bien ese enlace que ellos quieren que te descargues y que supuestamente te dirá dónde puedes recoger tu paquete. NO LO HAGAS.

La utilización de esta nueva plantilla que utiliza el nombre de MRW era algo que se veía venir desde que se dio el aviso recientemente por parte del investigador MalwareHunterTeam y donde se alertaba de una nueva versión de este malware (la 3.8).

After Correos, DHL and Fedex, now FluBut is being spread using MRW decoy in Spain, from yesterday.

Samples:

"mrw-1.apk": 8ad776c24baffce19f92e00714f79703bd87319b1255cf6a4c6f888d661eb0f4

"mrw-2.apk": c42ae7e78589e354ee15539dc5e3f820b6d91d79b37f4c652a13f924fb054505 pic.twitter.com/kGjBPPQDux

Según el propio análisis que publicó Josep en su blog, las conclusiones sobre este nuevo ataque son las siguientes: "Tras observar esta y otras campañas similares desde hace varios meses y comprobar como se van expandiendo por otros países (como Alemania) no cabe duda de que los delincuentes están haciendo su agosto. De nosotros depende evitar caer en este tipo de trampas ignorando mensajes SMS no solicitados, revisando las webs a las que dirigen los enlaces incluidos, evitando descargar aplicaciones desde fuera de repositorios conocidos como Google Play y no dando más permisos de los necesarios a las aplicaciones que instalamos".

Hace unos días publicamos en 20 Bits una noticia sobre cómo eliminar Flubot de una manera sencilla con una aplicación de Android. Si te interesa puedes hacer clic en la noticia destaca a tu derecha.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.