FacebookTwitterLinkedIn

¿Cñomo eliminar FluBot de un dispositivo infectado?

Conocido también como: Virus FluBot
Tipo: Troyano
Nivel de peligrosidad: Extremo

Tomas Meskauskas Escrito por el (actualizado)

¿Qué tipo de malware es FluBot?

FluBot es el nombre de software malicioso que se dirige a los teléfonos inteligentes Android. Los ciberdelincuentes distribuyen FluBot a través de mensajes SMS, que envían (al menos en tres idiomas diferentes, como alemán, polaco y húngaro) con enlaces para descargar sitios web para una aplicación falsa de FedEx.

Estos sitios web descargan un archivo APK malicioso (archivo de paquete de Android) diseñado para instalar el malware bancario FluBot.

Malware FluBot para Android

FluBot en detalle

Como se mencionó, los ciberdelincuentes distribuyen FluBot a través de mensajes SMS. Envían mensajes (en diferentes idiomas) que contienen un sitio web falso de seguimiento de envíos diseñado para descargar un archivo APK, que tiene una apariencia similar al instalador de la aplicación FedEx.

Durante la instalación, la aplicación falsa de FedEx (aplicación maliciosa FluBot) solicita varios permisos. Por ejemplo, para leer contactos, escribir, leer y enviar mensajes SMS, leer el estado del teléfono, mantener el dispositivo activo, crear notificaciones y publicarlas usando la función startForeground.

También solicita permiso para iniciar llamadas telefónicas sin pasar por la interfaz de usuario del marcador, eliminar paquetes, permitir la consulta de cualquier aplicación normal instalada en el dispositivo y permitir que las aplicaciones abran conexiones de red.

FluBot puede recibir comandos a través de un servidor de Command and Control (C&C, Comando y Control), incluidos comandos para desinstalar aplicaciones, bloquear la tarjeta, cargar mensajes SMS, abrir URL (direcciones de sitios web), extraer listas de contactos, deshabilitar Google Play Protect y varios otros comandos.

FluBot es un malware bancario dirigido a usuarios de diferentes países. Una forma que emplea el malware para robar datos confidenciales es mostrar ventanas en las que se solicita la información de la tarjeta de crédito.

De esta forma, los ciberdelincuentes utilizan FluBot para engañar a las víctimas para que proporcionen información sensible que podría utilizarse para robar identidades, realizar compras y transacciones fraudulentas, etc. También pueden utilizarlo para extraer otros datos personales como, por ejemplo, credenciales de inicio de sesión (nombres de usuario, direcciones de email, contraseñas).

Resumen de la Amenaza:
Nombre Virus FluBot
Tipo de Amenaza Android malware, malicious application, unwanted application.
Nombres de Detección (fedex.apk) Avast-Mobile (Android:Evo-gen [Trj]), BitDefenderFalx (Android.Trojan.Banker.TW), ESET-NOD32 (una variante de Android/TrojanDropper.Agent.HKE), Kaspersky (HEUR:Backdoor.AndroidOS.Polph.c), Lista Completa (VirusTotal).
Dominios Relacionados cssincronbucuresti[.]ro, windjey[.]com, gispert[.]pt
Nombres de Detección (cssincronbucuresti[.]ro) Fortinet (Phishing), PREBYTES (Malware), Lista Completa (VirusTotal).
Nombres de Detección (windjey[.]com) Dr.Web (Malicious), Fortinet (Malware), PREBYTES (Malware), Lista Completa (VirusTotal).
Síntomas El dispositivo funciona lento, la configuración del sistema se modifica sin el permiso de los usuarios, aparecen aplicaciones dudosas, el uso de datos y batería aumenta significativamente, los navegadores redirigen a sitios web falsos, se entregan anuncios intrusivos, pérdida monetaria, problemas con la privacidad en línea, cuentas personales robadas.
Métodos de Distribución Ingeniería social, mensajes SMS, sitio web falso de FedEx.
Daño Información personal robada (mensajes privados, inicios de sesión/contraseñas, etc.), disminución del rendimiento del dispositivo, batería se agota rápidamente, disminución de la velocidad de Internet, grandes pérdidas de datos, pérdidas monetarias, identidad robada (las aplicaciones maliciosas pueden abusar de las aplicaciones de comunicación).
Eliminación de Malware (Android) Para eliminar las infecciones de malware, nuestros investigadores de seguridad recomiendan analizar su dispositivo Android con software anti-malware legítimo. Recomendamos. We recommend Avast, Bitdefender, ESET o Malwarebytes.

FluBot en general

Los ciberdelincuentes utilizan una aplicación FedEx falsa para distribuir el malware bancario FluBot. Dado que este malware puede acceder a la lista de contactos, cargar y enviar mensajes, los ciberdelincuentes pueden propagarlo aún más utilizando números recopilados y enviando mensajes SMS relacionados con notificaciones de FedEx con un enlace a un sitio web malicioso.

Más ejemplos de malware de Android son Oscorp, ThiefBot y Basbanke.

¿Cómo se infiltró FluBot en mi dispositivo?

Como se mencionó anteriormente, FluBot se distribuye a través de un sitio web falso de FedEx. Los usuarios de Android reciben un enlace a ese sitio web a través de SMS que afirma ser una notificación de FedEx sobre el paquete que supuestamente debe llegar. Los ciberdelincuentes se dirigen a usuarios que viven en diferentes países (por ejemplo, Alemania, Polonia, Hungría).

Tenga en cuenta también que el malware se puede distribuir mediante el email (archivos adjuntos de email maliciosos, enlaces a sitios web en emails), actualizadores de software falsos, herramientas de 'craqueo', descargadores de terceros, redes Peer-to-Peer y otras fuentes dudosas para descargar archivos y programas.

De hecho, es más probable que los métodos de distribución mencionados anteriormente se utilicen para engañar a los usuarios para que instalen malware en sus computadoras, en lugar de en dispositivos móviles.

Cómo evitar la instalación de malware

El software debe descargarse de fuentes legítimas (por ejemplo, páginas o plataformas oficiales). Nunca es seguro utilizar páginas no oficiales u otras fuentes para descargar archivos o aplicaciones.

No se debe confiar en los mensajes de email irrelevantes que contienen archivos adjuntos o vínculos a sitios web, especialmente si se reciben de un remitente desconocido. Los ciberdelincuentes suelen utilizar emails de este tipo para enviar malware (animan a los usuarios a abrir el archivo adjunto o hacer clic en un enlace proporcionado).

Los programas instalados deben actualizarse y activarse mediante las herramientas que proporcionan sus desarrolladores oficiales. Las herramientas no oficiales de terceros suelen ser maliciosas. Además, es ilegal omitir la activación de cualquier software con licencia que utilice herramientas de "craqueo" o software pirateado.

Además, su dispositivo debe tener instalado un software antivirus o antispyware de buena reputación, utilice este software para escanear el dispositivo con regularidad.

Captura de pantalla del sitio web falso de FedEx:

Sitio web falso del malware FluBot FedEx

Captura de pantalla del mensaje SMS en alemán:

Sitio web falso del malware FluBot sms alemán

Texto en este mensaje:

Ihr Paket kommt an, verfolgen Sie es hier: -

Captura de pantalla del mensaje SMS en húngaro:

Sitio web falso del malware FluBot sms húngaro

Texto en este mensaje:

Megerkezett a csomagja, kovesse nyomon itt: -

Captura de pantalla del mensaje SMS en polaco:

Sitio web falso del malware FluBot sms polaco

Texto en este mensaje:

FedEx: Twoja paczka przybywa, sledz tutaj: -

Capturas de pantalla de los cuadros de diálogo de instalación de FluBot:

Primer paso de instalación del malware FluBot Segundo paso de instalación del malware FluBot Tercer paso de instalación del malware FluBot Cuarto paso de instalación del malware FluBot

Actualización 13 de agosto de 2021: el alcance del malware FluBot se ha extendido por toda Europa, pero recientemente su operación llegó a Australia. Los métodos y funcionalidades de proliferación del programa malicioso no han sufrido cambios significativos. FluBot todavía funciona superponiendo las pantallas de las víctimas con ventanas de inicio de sesión falsas de varias aplicaciones bancarias en línea.

Al momento de la investigación, se dirigió a los siguientes bancos australianos: Bank Australia, Bank of Melbourne, BankSA, CommBank, Great Southern Bank Australia, HSBC Australia, National Australia Bank, St. George Bank, Suncorp y UBank.

Capturas de pantalla de las ventanas de inicio de sesión falsas que muestra el malware FluBot:

Ventana de inicio de sesión falsa de NetBank (CommBank - Commonwealth Bank of Australia) mostrada por el malware FluBot Ventana de inicio de sesión de GSB (Great Southern Bank Australia) mostrada por el malware FluBot Ventana de inicio de sesión de NAB (National Australia Bank) mostrada por el malware FluBot Ventana de inicio de sesión de Suncorp mostrada por el malware FluBot Ventana de inicio de sesión de UBank mostrada por el malware FluBot

Captura de pantalla de un mensaje de advertencia falso utilizado para propagar el malware FluBot. Los sitios web maliciosos muestran esta advertencia para engañar a los usuarios para que instalen FluBot en sí, en lugar de una actualización de seguridad que supuestamente los protege.

Mensaje de advertencia falso que propaga el malware FluBot

Texto en este mensaje:

Your device is infected with the FluBot malware

Android has detected that your device has been infected.

FluBot is an Android spyware that aims to steal financial login and password data from your device.

You must install an Android security update to remove FluBot.

[Install security update]

If a window appears preventing the installation, select "settings" and enable the installation of unknown apps.

Menú Rápido:

Eliminar el historial de navegación del navegador web Chrome:

Eliminar el historial de navegación web de Chrome en el sistema operativo Android (paso 1)

Toque el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable abierto.

Eliminar el historial de navegación web de Chrome en el sistema operativo Android (paso 2)

Toque "Borrar datos de navegación", seleccione la pestaña "AVANZADO", elija el rango de tiempo y los tipos de datos que desea eliminar y toque "Borrar datos".

[Volver al índice]

Desactivar las notificaciones del navegador en el navegador web Chrome:

Deshabilitar las notificaciones del navegador en el navegador Chrome en el sistema operativo Android (paso 1)

Toque el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Configuración" en el menú desplegable abierto.

Deshabilitar las notificaciones del navegador en el navegador Chrome en el sistema operativo Android (paso 2)

Desplácese hacia abajo hasta que vea la opción "Configuración del sitio" y tóquela. Desplácese hacia abajo hasta que vea la opción "Notificaciones" y tóquela.

Deshabilitar las notificaciones del navegador en el navegador Chrome en el sistema operativo Android (paso 3)

Busque los sitios web que envían notificaciones del navegador, tóquelas y haga clic en "Borrar y restablecer". Esto eliminará los permisos otorgados a estos sitios web para enviar notificaciones. Sin embargo, una vez que vuelva a visitar el mismo sitio, es posible que le solicite permiso nuevamente.

Puede elegir si desea otorgar estos permisos o no (si opta por rechazarlos, el sitio web irá a la sección "Bloqueado" y ya no le pedirá permiso).

[Volver al índice]

Restablecer el navegador web Chrome:

Restablecimiento del navegador Chrome a los valores predeterminados en el sistema operativo Android (paso 1)

Vaya a "Configuración", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquela.

Restablecimiento del navegador Chrome a los valores predeterminados en el sistema operativo Android (paso 2)

Desplácese hacia abajo hasta encontrar la aplicación "Chrome", selecciónela y toque la opción "Almacenamiento".

Restablecimiento del navegador Chrome a los valores predeterminados en el sistema operativo Android (paso 3)

Toque "ADMINISTRAR ALMACENAMIENTO", luego "BORRAR TODOS LOS DATOS" y confirme la acción presionando "Aceptar". Tenga en cuenta que reiniciar el navegador eliminará todos los datos almacenados en él. Por lo tanto, se eliminarán todos los inicios de sesión/contraseñas, el historial de navegación, las configuraciones no predeterminadas y otros datos guardados. También tendrá que volver a iniciar sesión en todos los sitios web.

[Volver al índice]

Eliminar el historial de navegación del navegador web Firefox:

Eliminar el historial de navegación de Firefox en el sistema operativo Android (paso 1)

Toque el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable abierto.

Eliminar el historial de navegación de Firefox en el sistema operativo Android (paso 2)

Desplácese hacia abajo hasta que vea "Borrar datos privados" y tóquela. Seleccione los tipos de datos que desea eliminar y toque "BORRAR DATOS".

[Volver al índice]

Desactivar las notificaciones del navegador en el navegador web Firefox:

Desactive las notificaciones del navegador en el navegador web Firefox en el sistema operativo Android (paso 1)

Visite el sitio web que envía notificaciones del navegador, toque el icono que se muestra a la izquierda de la barra de URL (el icono no será necesariamente un "candado") y seleccione "Editar configuración del sitio".

Desactive las notificaciones del navegador en el navegador web Firefox en el sistema operativo Android (paso 2)

En la ventana emergente abierta, habilite la opción "Notificaciones" y toque "BORRAR".

[Volver al índice]

Reiniciar el navegador web Firefox:

Restablecimiento del navegador Firefox en el sistema operativo Android (paso 1)

Vaya a "Configuración", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquela.

Restablecimiento del navegador Firefox en el sistema operativo Android (paso 2)

Desplácese hacia abajo hasta encontrar la aplicación "Firefox", selecciónela y toque la opción "Almacenamiento".

Restablecimiento del navegador Firefox en el sistema operativo Android (paso 3)

Toque "BORRAR DATOS" y confirme la acción grabando "BORRAR". Tenga en cuenta que reiniciar el navegador eliminará todos los datos almacenados en él. Por lo tanto, se eliminarán todos los inicios de sesión/contraseñas, el historial de navegación, las configuraciones no predeterminadas y otros datos guardados. También tendrá que volver a iniciar sesión en todos los sitios web.

[Volver al índice]

Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:

Eliminación de PUAs/apps maliciosas del sistema operativo Android (paso 1)

Vaya a "Configuración", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquela.

Eliminación de PUAs/apps maliciosas del sistema operativo Android (paso 2)

Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada o maliciosa, selecciónela y toque "Desinstalar". Si, por alguna razón, no puede eliminar la aplicación seleccionada (como por ejemplo, aparece un mensaje de error), debe intentar usar el "Modo seguro".

[Volver al índice]

Iniciar el dispositivo Android en "Modo seguro":

El "Modo seguro" en el sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. El uso de este modo es una buena manera de diagnosticar y resolver varios problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden que los usuarios lo hagan cuando el dispositivo está funcionando "normalmente").

Arrancar un dispositivo Android en modo seguro

Presione el botón "Encendido" y manténgalo presionado hasta que vea la pantalla "Apagar". Toque el icono "Apagar" y manténgalo presionado. Después de unos segundos, aparecerá la opción "Modo seguro" y podrá ejecutarla reiniciando el dispositivo.

[Volver al índice]

Verificar el uso de la batería de varias aplicaciones:

Comprobación del uso de la batería de varias aplicaciones en el sistema operativo Android (paso 1)

Vaya a "Configuración", desplácese hacia abajo hasta que vea "Mantenimiento del dispositivo" y tóquela.

Comprobación del uso de la batería de varias aplicaciones en el sistema operativo Android (paso 2)

Toque "Batería" y verifique el uso de cada aplicación. Las aplicaciones legítimas/genuinas están diseñadas para usar la menor cantidad de energía posible para brindar la mejor experiencia de usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.

[Volver al índice]

Verificar el uso de datos de varias aplicaciones:

Comprobación del uso de datos de varias aplicaciones en el sistema operativo Android (paso 1)

Vaya a "Configuración", desplácese hacia abajo hasta que vea "Conexiones" y tóquela.

Comprobación del uso de datos de varias aplicaciones en el sistema operativo Android (paso 2)

Desplácese hacia abajo hasta que vea "Uso de datos" y seleccione esta opción. Al igual que con la batería, las aplicaciones legítimas/genuinas están diseñadas para minimizar el uso de datos tanto como sea posible. Por lo tanto, un uso significativo de datos puede indicar la presencia de aplicaciones maliciosas.

Tenga en cuenta que algunas aplicaciones malintencionadas pueden estar diseñadas para funcionar cuando el dispositivo está conectado únicamente a una red inalámbrica. Por esta razón, debe verificar el uso de datos móviles y Wi-Fi.

Comprobación del uso de datos de varias aplicaciones en el sistema operativo Android (paso 3)

Si encuentra una aplicación que usa una gran cantidad de datos a pesar de que nunca la usa, le recomendamos encarecidamente que la desinstale lo antes posible.

[Volver al índice]

Instalar las últimas actualizaciones de software:

Mantener el software actualizado es una buena práctica en lo que respecta a la seguridad del dispositivo. Los fabricantes de dispositivos lanzan continuamente varios parches de seguridad y actualizaciones de Android para corregir errores y errores de los que pueden abusar los ciberdelincuentes.

Un sistema obsoleto es mucho más vulnerable, por lo que siempre debe asegurarse de que el software de su dispositivo esté actualizado.

Instalación de actualizaciones de software en el sistema operativo Android (paso 1)

Vaya a "Configuración", desplácese hacia abajo hasta que vea "Actualización de software" y tóquela.

Instalación de actualizaciones de software en el sistema operativo Android (paso 2)

Toque "Descargar actualizaciones manualmente" y comprueba si hay actualizaciones disponibles. Si es así, instálelos inmediatamente. También recomendamos habilitar la opción "Descargar actualizaciones automáticamente", esto permitirá que el sistema le notifique una vez que se publique una actualización y/o la instale automáticamente.

[Volver al índice]

Restablecer el sistema a su estado predeterminado:

Realizar un "Restablecimiento de fábrica" ​​es una buena manera de eliminar todas las PUAs, restaurar la configuración del sistema a los valores predeterminados y limpiar el dispositivo en general.

Sin embargo, tenga en cuenta que se eliminarán todos los datos del dispositivo, incluidas fotos, archivos de video/audio, números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), mensajes SMS, etc. Es decir, el dispositivo se restaurará a su estado de fábrica.

También puede restaurar la configuración básica del sistema y/o simplemente la configuración de red.

Restablecimiento del sistema operativo Android a su valor predeterminado (paso 1)

Vaya a "Configuración", desplácese hacia abajo hasta que vea "Acerca del teléfono" y tóquela.

Restablecimiento del sistema operativo Android a su valor predeterminado (paso 2)

Desplácese hacia abajo hasta que vea "Restablecer" y tóquela. Ahora elija la acción que desea realizar:
"Restablecer configuración": restablece todas las configuraciones del sistema a sus valores predeterminados,
"Restablecer configuración de red": restablece todas las configuraciones relacionadas con la red a sus valores predeterminados,
"Restablecer datos de fábrica": restablece todo el sistema y elimina por completo todos los datos almacenados,

[Volver al índice]

Deshabilitar las aplicaciones que tienen privilegios de administrador:

Si una aplicación malintencionada obtiene privilegios de administrador, puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible, siempre verifique qué aplicaciones tienen tales privilegios y desactive las que no deberían.

Deshabilitar las aplicaciones de Android que tienen privilegios de administrador (paso 1)

Vaya a "Configuración", desplácese hacia abajo hasta que vea "Pantalla de bloqueo y seguridad" y tóquela.

Deshabilitar las aplicaciones de Android que tienen privilegios de administrador (paso 2)

Desplácese hacia abajo hasta que vea "Otras configuraciones de seguridad", tóquela y luego toque "Aplicaciones de administración del dispositivo".

Deshabilitar las aplicaciones de Android que tienen privilegios de administrador (paso 3)

Identifique las aplicaciones que no deberían tener privilegios de administrador, tóquelas y luego toque "DESACTIVAR".

Preguntas Frecuentes (FAQ)

Mi dispositivo está infectado con el malware FluBot, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?

No es necesario realizar el formateo para deshacerse de FluBot.

¿Cuáles son los mayores problemas que puede causar el malware?

Puede usarse para robar identidades, realizar compras y transacciones fraudulentas, secuestrar cuentas en línea, engañar a otros usuarios para que infecten sus dispositivos con malware.

¿Cuál es el propósito del malware FluBot?

Parece que el propósito de este malware es robar datos de tarjetas de crédito. Además, podría usarse para extraer credenciales de inicio de sesión (como nombres de usuario, direcciones de email, contraseñas) y otra información confidencial.

¿Cómo se infiltró el malware FluBot en mi dispositivo?

FluBot se distribuye a través de un sitio web falso de FedEx que los ciberdelincuentes envían a las víctimas potenciales a través de mensajes SMS.

▼ Mostrar discusión.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Sobre nosotros

PCrisk es un portal de ciberseguridad que informa a los usuarios de Internet sobre las últimas amenazas digitales. Nuestro contenido es proporcionado por expertos en seguridad e investigadores profesionales de malware. Lea más sobre nosotros.

Guías de desinfección en otros idiomas
Nuevas guías para la eliminación de virus
Top de guías para la eliminación de virus
Código QR
Virus FluBot Código QR
Escanee este código QR para acceder fácilmente a la guía de desinfección de Virus FluBot desde su dispositivo móvil.
Nuestra recomendación:

Acabe con las infecciones de malware para Windows hoy mismo:

▼ ELIMÍNELO AHORA
Descargue Combo Cleaner

Plataforma: Windows

Valoración de Combo Cleaner por parte del editor:
Valoración¡Excelente!

[Volver al principio]

El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.