Boletín de seguridad de Kaspersky

Amenazas para dispositivos móviles en 2013

La industria del software malicioso para dispositivos móviles se está desarrollando con gran rapidez, tanto en el plano tecnológico, como en el estructural. Podemos afirmar que el delincuente informático moderno ya no es un pirata solitario, sino más bien un eslabón de un serio proceso de negocios.

Entre los participantes en el campo del software malicioso existe una rigurosa división de papeles: escritores de virus, evaluadores (testers), diseñadores de la interfaz de las aplicaciones y páginas web móviles desde donde estos se propagan, dueños de sistemas de afiliados que difunden programas maliciosos, dueños de botnets móviles, etc. 

Podemos hacer un juicio sobre la división de papeles entre los delincuentes por el comportamiento de sus troyanos. En 2013 constatamos varias veces la colaboración (seguramente comercial) entre diferentes grupos de escritores de virus. Por ejemplo, la botnet Trojan-SMS.AndroidOS.Opfake.a, aparte de su propias actividades maliciosas, propagaba Backdoor.AndroidOS.Obad.a enviando spam con enlaces a este malware a todas las direcciones de la lista de contactos de la víctima.

Como podemos ver, la industria ha alcanzado cierto grado de madurez y se está orientando cada vez más a la extracción de beneficios, algo que se hace patente cuando observamos las posibilidades de los programas maliciosos.

Cifras del año

  • En 2013 nuestra compañía detectó 143.211 nuevas modificaciones de programas maliciosos para dispositivos móviles (datos del 1 de enero de 2014).
  • En 2013 los delincuentes usaron cerca de 4 millones (3.905.502) de paquetes de instalación para propagar malware móvil. Entre 2012 y 2013 nuestra compañía descubrió cerca de 10 millones de paquetes de instalación nocivos únicos:

    Cantidad de paquetes de instalación nocivos detectados entre 2012 y 2013

    Merece la pena destacar que diferentes paquetes de instalación pueden instalar programas con la misma funcionalidad. La diferencia puede consistir sólo en la interfaz del programa malicioso y, por ejemplo, el contenido de los mensajes de texto enviados.

  • Android sigue siendo el principal blanco de los ataques maliciosos. El 98,05% de los programas maliciosos para dispositivos móviles descubiertos en 2013 están dirigidos a esta plataforma, lo que es un testimonio de su popularidad, y de la vulnerabilidad de su arquitectura.

Distribución por plataforma de los programas maliciosos para dispositivos móviles, 2013

  • La mayoría de los programas maliciosos para dispositivos móviles tienen como objetivo robar dinero a los usuarios. A esto se dedican los troyanos SMS, muchos backdoors y una parte de los programas maliciosos de la categoría troyanos.

Distribución por categoría de los programas maliciosos para dispositivos móviles

  • En el transcurso del año la cantidad de modificaciones de programas maliciosos para phishing, robo de información de tarjetas de crédito y robo de dinero de las cuentas bancarias de los usuarios se ha multiplicado por 19,7. En 2013 los productos móviles de Kaspersky Lab neutralizaron 2500 infecciones de troyanos bancarios.

Métodos y tecnologías

En 2013 los escritores de virus para dispositivos móviles no sólo aumentaron radicalmente su producción maliciosa, sino que también usaron métodos y tecnologías que permiten a los delincuentes informáticos usar programas maliciosos de una forma más efectiva. Podemos señalar varias tendencias del desarrollo de los programas maliciosos para dispositivos móviles.

Propagación

Los delincuentes usaron maneras muy refinadas de infectar los dispositivos móviles.

La infección de páginas web legítimas permite propagar programas maliciosos para dispositivos móviles en sitios web populares. Cada vez más usuarios recurren a sus smartphones y tabletas para visitar sitios web, sin pensar que los delincuentes pueden penetrar incluso el sitio más sólido. Según nuestro cálculos, los recursos infectados representaron el 0,4% del total de sitios visitados por los usuarios de nuestros productos.

Distribución mediante tiendas alternativas de aplicaciones. En Asia reside una gran cantidad de compañías que producen dispositivos Android y aplicaciones para ellos, y muchas de ellas ofrecen a los usuarios sus propias tiendas de aplicaciones que contienen programas imposibles de conseguir en Google Play. El control sobre las aplicaciones que se suben a estas tiendas es con frecuencia sólo nominal, lo que le permite a los delincuentes distribuir sus troyanos bajo la apariencia de juegos y utilidades inocentes.

Distribución mediante botnets.  Como regla, los bots se distribuyen enviando SMS con enlaces maliciosos a los contactos de la víctima. También registramos un caso de distribución de un programa maliciosos para dispositivos móviles mediante una botnet perteneciente a terceros.

Tolerancia ante los sistemas de defensa

Una tendencia importante del desarrollo de malware móvil es su capacidad de funcionar durante largo tiempo en el dispositivo móvil de la víctima. Mientras más tiempo "viva" un troyano en un smartphone, más dinero le traerá a su dueño. Los escritores de virus hacen intensas investigaciones en esta dirección, lo que se plasma en una gran cantidad de novedades tecnológicas.

Los delincuentes usan con cada vez más frecuencia el enmarañamiento (obfuscation en inglés), un procedimiento que hace más enredado el código para que sea más difícil analizarlo. Mientras más complicado es el enmarañamiento, más tiempo pasará hasta que los antivirus puedan neutralizar el programa malicioso. Y ahora los escritores de virus han asimilado los enmarañadores comerciales, lo que supone ciertas inversiones de dinero, en ocasiones muy grandes. Por ejemplo, los troyanos Opfak.bo y Obad.a usaban uno de los enmarañadores comerciales, cuyo precio mínimo es 350 euros.

Vulnerabilidades Android. Los delincuentes las usan con tres objetivos: evadir la comprobación de integridad del código durante la instalación (vulnerabilidad Master Key), elevar los privilegios de las aplicaciones maliciosas (lo que expande significativamente sus posibilidades) y para dificultar la eliminación de los programas maliciosos. Por ejemplo, Svpeng usa una vulnerabilidad conocida para evitar que lo eliminen de forma manual o con un antivirus.

Estos delincuentes informáticos, explotando la vulnerabilidad Master Key, se han hecho expertos en incrustar ficheros ejecutables sin firma en los paquetes de instalación de programas para Android. La verificación de la firma digital se puede evadir nombrando el fichero malicioso de la misma exacta forma que el legítimo y poniéndolo en el mismo nivel del archivo. El sistema verifica la firma del fichero legítimo, pero instala el malicioso.

Por desgracia, las vulnerabilidades de Android tienen una desagradable peculiaridad: es posible librarse de ellas sólo recibiendo una actualización del fabricante del dispositivo, pero muchos de ellos no se apresuran a actualizar el sistema operativo de sus productos. Si el Smartphone o tableta tiene más de un año, lo más probable es que ya no tenga soporte del fabricante y no hay que esperar que cierren las vulnerabilidades. En este caso sólo puede ayudar una solución antivirus, por ejemplo Kaspersky Internet Security para Android.

La incrustación de código malicioso en programas legítimos ayuda a hacer que la víctima no se dé cuenta de que su dispositivo móvil está infectado. Por supuesto, esto no permite usar la firma digital del desarrollador del programa, pero gracias a la ausencia de centros de certificación de firmas digitales de programas para Android, nada impide que los delincuentes pongan su propia firma, y eso es exactamente lo que hacen. De esta manera, una aplicación Angry Birds que funciona a la perfección, instalada en una tienda no oficial de aplicaciones o descargada de un foro, puede tener funcionalidades maliciosas.

Posibilidades y funciones

En 2013 descubrimos varias novedades tecnológicas desarrolladas y usadas por los delincuentes en su software malicioso. Describiremos las más interesantes.

La administración de los programas maliciosos desde un solo centro garantiza la máxima flexibilidad en su aplicación. Las botnets permiten obtener mucho más lucro que los troyanos autónomos. No es sorprendente que muchos troyanos SMS tengan también funciones de bots. Según nuestras estimaciones, alrededor del 60% del malware móvil son parte de grandes y pequeñas botnets móviles.

La Administración mediante Google Cloud Messaging permite que los dueños de la botnet no necesiten un servidor de administración, lo que elimina la amenaza de que los servicios de seguridad del estado lo detecten y clausuren. El servicio Google Cloud Messaging sirve para enviar a los dispositivos móviles pequeños mensajes de hasta 4Kb mediante los servidores de Google. Para usarlos, basta que el desarrollador se inscriba y reciba un ID único para sus aplicaciones. Las instrucciones recibidas desde Google Cloud Messaging no se pueden bloquear si el dispositivo está infectado.

Hemos descubierto varios programas maliciosos que usan Google Cloud Messaging para funciones de administración y control: el extensamente distribuido Trojan-SMS.AndroidOS.FakeInst.a, Trojan-SMS.AndroidOS.Agent.ao, Trojan-SMS.AndroidOS.OpFake.a y muchos otros. Google se opone resueltamente a que se le dé este uso a su servicio y bloquea los ID de los delincuentes, reaccionado de inmediato a las notificaciones de las compañías antivirus.

Un ataque contra Windows XP permite que el malware móvil infecte un ordenador personal cuando se le conecta un Smartphone o una tableta. A principios de 2013, detectamos en Google Play dos aplicaciones idénticas que supuestamente servían para limpiar el sistema operativo de los dispositivos Android para liberarlo de procesos innecesarios.  Pero en realidad la tarea de estas aplicaciones es descargar un fichero autorun.inf, un pictograma y un fichero de un troyano win32, que el malware móvil pone en el directorio raíz de la tarjeta SD. Al conectar el smartpone en modo de emulación de memoria USB a un equipo que funcione con Windows XP, el sistema ejecuta automáticamente el troyano (si la función de ejecución automática desde memorias externas no está desactivad) y se infecta. El troyano les garantiza a los delincuentes la administración remota del ordenador de la víctima y es capaz de grabar el sonido desde un micrófono. Subrayamos que este método de ataque funciona sólo en Windows XP y Android hasta la versión 2.2 inclusive.

Los programas maliciosos para dispositivos móviles más perfectos de hoy en día son los troyanos que apuntan a la fuente más atractiva de lucro: las cuentas bancarias ajenas.

Tendencias del año: los troyanos bancarios móviles

2013 estuvo marcado por el súbito aumento de la cantidad de troyanos para Android. La industria de los programas maliciosos para dispositivos móviles se está orientando cada vez más a la obtención efectiva de lucro, usando el phishing móvil, el robo de información de tarjetas de crédito, la transferencia de dinero desde las tarjetas de crédito a la cuenta del teléfono móvil y desde éste a las billeteras electrónicas de los delincuentes.  Los delincuentes informáticos se han deleitado con el sabor de esta forma ilegal de obtener ganancias: si a principios de año se conocían 67 troyanos bancarios, a fin de año ya habían caído en nuestras manos más de 1321 muestras únicas. Los productos de Kaspersky Lab para dispositivos móviles han neutralizado 2.500 infecciones por troyanos bancarios.

Cantidad de troyanos bancarios en nuestra colección

Los troyanos bancarios móviles pueden trabajar en colaboración con troyanos Win-32, malware usado para evadir la autenfiticación de dos factores robando los mTAN (códigos de confirmación de operaciones bancarias que los bancos envían a sus clientes como mensajes de texto). Sin embargo en 2013 los troyanos bancarios móviles independientes han seguido desarrollándose. Hasta ahora, estos troyanos atacan a los clientes de un limitado número de bancos, pero los delincuentes informáticos pueden inventar nuevas técnicas que les permitan aumentar la cantidad de las víctimas potenciales y el territorio dónde encontrarlas.

Mapa de intentos de infección por troyanos bancarios móviles

En el presente, la mayor parte de los troyanos bancarios ataca a los usuarios de Rusia y los países de la Comunidad de Estados Independientes. Sin embargo, esta situación durará poco: tomando en cuenta el interés que tienen los delincuentes en las cuentas bancarias de los usuarios, en 2014 podemos esperar el crecimiento de las actividades de los troyanos bancarios móviles en otros países.

Como ya hemos dicho más arriba, parece ser que de entre todos las amenazas móviles los troyanos bancarios son los más complejos. Un excelente ejemplo es el troyano Svpeng.

Svpeng

A mediados de julio descubrimos el troyano Trojan-SMS.AndroidOS.Svpeng.a, que a diferencia de sus congéneres Trojan-SMS, está orientado al robo de dinero de la cuenta bancaria de la víctima, y no de teléfono móvil. Carece de independencia y actúa según las órdenes que recibe de su servidor de administración. Este malware se propaga mediante spam SMS desde sitios web legítimos que remiten a los usuarios a recursos maliciosos. Allí les ofrecen descargar e instalar el troyano, haciéndolo pasar por Adobe Flash Player.

Svpeng tiene muchas funciones.

Recopila información sobre el Smartphone (IMEI, país, operado de telefonía, idioma del sistema operativo) y se la envía a su dueño mediante una solicitud HTTP POST. A todas luces, esto es necesario para determinar qué bancos usa la víctima. Hasta el momento Svpeng estuvo implicado en los ataques contra los usuarios de algunos bancos rusos, pero nada impide a los delincuentes extender su actividad a otros países después de haber experimentado la tecnología en Rusia.

Roba mensajes SMS e información sobre las llamadas. Esto también permite al delincuente averiguar de qué bancos es cliente el dueño del Smartphone, ya que el troyano recibe una lista de números telefónicos de bancos desde su servidor de administración.

Roba dinero desde la cuenta bancaria de la víctima. En Rusia algunos grandes bancos tienen un servicio que permite a sus clientes poner dinero en la cuenta de su teléfono móvil usando una tarjeta de crédito. Con este objetivo, el cliente el banco sólo tiene que enviar desde su Smartphone un mensaje de texto a un número especial del banco. Svpeng envía mensajes de texto a los números de servicio SMS de estos bancos. De esta manera, el dueño de Svpeng puede saber si el número del Smartphone infectado está vinculado con las tarjetas de estos bancos y si existe una cuenta bancaria, recibir información sobre el balance.  Después de esto, el delincuente puede enviar a Svpeng la orden de transferir dinero de la cuenta bancaria a la cuenta telefónica de la víctima. Más adelante, pueden “verter” el dinero de la cuenta telefónica de diversas formas, por ejemplo, transferirlo a una billetera electrónica mediante el sistema del operador de telefonía o mediante el banal truco de enviar un mensaje a un número de pago.

Roba el login y contraseña del sistema de banca online, suplantando la ventana de la aplicación del banco. Por el momento sólo tenemos noticias de la suplantación de aplicaciones de bancos rusos, pero Svpeng tiene la posibilidad técnica de aprender y falsificar cualquier aplicación bancaria.

Roba los datos de la tarjeta bancaria (número, fecha de vencimiento, CVC2/CVV2) fingiendo que está vinculándola a Google Play. Si se intenta lanzar la aplicación Play Market, el troyano intercepta esta acción y muestra, por encima de la ventana de Google Play, su ventana “Agregar tarjeta” en el idioma del sistema y le propone al usuario rellenarla con los datos de la tarjeta bancaria. Todos los datos puestos por el usuario se envían a los delincuentes.

Extorsiona a los usuarios: los asusta diciendo que ha bloqueado el Smartphone, mientras muestra un mensaje que pide 500 dólares por desbloquearlo. En realidad el troyano no bloquea nada, el teléfono se puede usar sin problemas.

Oculta las huellas de sus actividades, haciendo pasar desapercibidos los mensajes de texto recibidos y enviados y escondiendo las llamadas y mensajes desde los números del banco. El troyano recibe la lista de números desde su servidor de administración.

Se protege de ser eliminado, porque al instalarse solicita privilegios de Device Administrator. Como resultado, el botón de eliminación del troyano en la lista de aplicaciones se muestra como inactivo, lo que puede convertirse en un problema para el usuario inexperto. Y es que para quitarle los privilegios es necesario usar programas especializados (por ejemplo, Kaspersky Internet Security para Android). Para evitar que lo eliminen, Svpeng usa una vulnerabilidad de Android que no se conocía. Del mismo modo, trata de revertir el Smartphone a la configuración original de fábrica.

Este troyano está difundido en Rusia y los países de la CEI. Pero como ya hemos escrito, los delincuentes pueden hacer que apunte a los usuarios de otros países.

Perkele y Wroba

Los usuarios de otros países también recibieron varias novedades nocivas, que tienen como blanco las cuentas bancarias.

El troyano para Android Perkele no solo ataca a los clientes de bancos rusos, sino también a los de algunos bancos europeos.  Es interesante sobre todo porque funciona en complicidad con diferentes troyanos bancarios para win32. Su principal tarea es evadir la autentificación de dos factores del cliente en el banco online.

Debido a que su misión es bastante específica, Perkele se propaga de una forma muy especial. Una vez infectado el equipo con el malware bancario (ZeuS, Citadel), cuando el usuario ingresa al banco online, incrusta en el código de la página de autentificación un campo que pide al usuario el número de Smartphone y su tipo de sistema operativo. Después de que el usuario la ingresa, toda la información cae en manos de los delincuentes y en la pantalla del ordenador se muestra un código QR con un enlace a un certificado de banca online falso. Al escanear el código QR e instalar el componente descargado del enlace, el usuario infecta su Smartphone con un troyano que tiene funciones muy interesantes para los delincuentes.

Perkele intercepta los mTAN (códigos de confirmación de operaciones bancarias) enviadas por el banco mediante mensajes de texto. Usando el login y contraseña del usuario robados en el navegador, el troyano para Windows inicia una transacción falsa, y Perkele la intercepta y le remite el mTAN enviado por el banco (mediante el servidor de administración). El dinero de la víctima abandona la cuenta y se convierte en dinero en efectivo sin ninguna señal externa.

El malware coreano Wroba, además del tradicional vector de infección mediante los servicios de intercambio de ficheros, también se difunde en las tiendas alternativas de aplicaciones. Una vez infectado el dispositivo, Wroba se comporta con una agresividad extrema. Busca las aplicaciones de banca online instaladas, las desinstala y e instala en su lugar aplicaciones idénticas, pero falsas. Estas lucen exactamente igual que las legítimas, pero no tienen ninguna función bancaria, y se dedican a robar los logins y contraseñas ingresadas.

TOP 10 de amenazas móviles de 2013

  Nombre* % del total de ataques
1 DangerousObject.Multi.Generic 40,42%
2 Trojan-SMS.AndroidOS.OpFake.bo 21,77%
3 AdWare.AndroidOS.Ganlet.a 12,40%
4 Trojan-SMS.AndroidOS.FakeInst.a 10,37%
5 RiskTool.AndroidOS.SMSreg.cw 8,80%
6 Trojan-SMS.AndroidOS.Agent.u 8,03%
7 Trojan-SMS.AndroidOS.OpFake.a 5,49%
8 Trojan.AndroidOS.Plangton.a 5,37%
9 Trojan.AndroidOS.MTK.a 4,25%
10 AdWare.AndroidOS.Hamob.a 3,39%

 

1. DangerousObject.Multi.Generic. Este veredicto indica que ya sabemos que la aplicación es maliciosa, pero la firma de detección por uno u otro motivo no llegó al usuario. En este caso se encargan de la detección las tecnologías "en la nube” de Kaspersky Security Network, que permiten que nuestros productos reaccionen con rapidez a las amenazas nuevas y desconocidas.

2. Trojan-SMS.AndroidOS.OpFake.bo. Este es uno de los representantes de los troyanos SMS más complejos. Se caracteriza por tener una interfaz muy bien diseñada y por la avidez de sus creadores. La activación del troyano le roba al dueño del teléfono desde 9 dólares hasta todo el dinero que tenga en su cuenta móvil. También existe el riesgo de desacreditación del número de teléfono, ya que el troyano puede recolectar números de la libreta de teléfonos y enviarles mensajes al azar. Su blanco son, sobre todo, los usuarios de habla rusa y lo usuarios de los países de la Comunidad de Estados Independientes.

3. AdWare.AndroidOS.Ganlet.a. Módulo de publicidad que puede instalar otras aplicaciones.

4. Trojan-SMS.AndroidOS.FakeInst.a. Este troyano, ha evolucionado durante el transcurso de los últimos dos años desde un simple remitente de SMS hasta convertirse en un bot completo, administrado por diferentes canales (entre ellos mediante Google Cloud Messaging). Puede robar dinero de la cuenta del abonado y enviar mensajes a la lista de contactos de la víctima.

5. RiskTool.AndroidOS.SMSreg.cw. Módulo de pagos muy difundido en China, incluido en diversos juegos como módulo de compra dentro de la aplicación mediante mensajes de texto. Borra el mensaje de confirmación del sistema de pagos sin que el usuario se dé cuenta.  La víctima no adivina que le han robado dinero de su cuenta telefónica hasta que no revisa su balance.

6. Trojan-SMS.AndroidOS.Agent.u. El primer troyano que empezó a utilizar una vulnerabilidad del SO Android para obtener derechos de DEVICE ADMIN y con esto hacer que sea muy difícil eliminarlo. Además, puede “colgar” las llamadas entrantes y hacer llamadas por su propia cuenta. El perjuicio que puede causar esta infección es el envío de varios mensajes de texto que pueden costar hasta 9 dólares.

7. Trojan.AndroidOS.Plangton.a. Módulo de publicidad que, sin hacer ninguna advertencia, envía la información personal del usuario al servidor de los publicitarios bajo el pretexto de que es necesario para personalizar la publicidad. Perjuicios: desacreditación del número de teléfono móvil, la cuenta del usuario en Google y algunos otros datos. Además, este troyano cambia la página inicial del navegador y le agrega pestañas de publicidad sin que el usuario se entere.

8. Trojan-SMS.AndroidOS.OpFake.a. Bot multifuncional que ayuda a propagar el complejo malware para Android Backdoor.AndroidOS.Obad.a. Forman un conjunto de aplicaciones que son extremadamente peligrosas para los usuarios por las siguientes razones:

  1. amplias posibilidades: robo de datos personales, envío de mensajes de texto a cualquier número. La instalación de esta aplicación puede vaciar por completo la cuenta del teléfono móvil. Riesgo de desacreditación, ya que se enviarán mensajes de texto en nombre de la víctima a sus contactos. La lista de contactos también se enviará al servidor de los delincuentes.
  2. mecanismos extremadamente complejos de autodefensa y resistencia a la eliminación. Gracias a la explotación de las vulnerabilidades del SO Android, este troyano no se puede eliminar a menos que se usen programas especiales, como Kaspersky Internet Security para Android.

Hay que destacar que el mapa de propagación de Trojan-SMS.AndroidOS.OpFake.a es más extenso que el de los líderes del TOP10. Con gran frecuencia nuestra compañía registra intentos de infección no sólo en los países de la Comunidad de Estados Independientes, sino también en Europa.

9. Trojan.AndroidOS.MTK.a. Complejo troyano con muchas funciones y sofisticados métodos de cifrado. Su principal tarea es ejecutar las aplicaciones maliciosas descargadas.

10. AdWare.AndroidOS.Hamob.a. Aplicación publicitaria que se propaga camuflándose como programas legítimos (usando por ejemplo el nombre y pictograma de WinRAR), pero su única función es mostrar publicidad.

Como vemos, cuatro de los troyanos del TOP 10 eran troyanos SMS, pero una parte significativa de estos cuenta con mecanismos de administración, que convierte en bots a los dispositivos infectados.

Geografía de las amenazas

Mapa de intentos de infección por programas maliciosos móviles
(porcentaje de usuarios únicos)

TOP 10 de países según el número de usuarios únicos.

  País % del total de usuarios atacados
1 Rusia 40,34%
2 India 7,90%
3 Vietnam 3,96%
4 Ucrania 3,84%
5 Inglaterra 3,42%
6 Alemania 3,20%
7 Kazajistán 2,88%
8 EE.UU. 2,13%
9 Malasia 2,12%
10 Irán 2,01%

 

En la distribución de amenazas móviles existen peculiaridades territoriales: en diferentes regiones y países los delincuentes usan diferentes categorías de malware móvil. He aquí algunos ejemplos por países de diferentes regiones del mundo.

Rusia

En Rusia los delincuentes móviles son muy activos: el 40,3% del total de usuarios atacados están en el territorio de este país.

Top 5 de familias de malware móvil propagadas en Rusia:

Familia % del total de usuarios atacados
Trojan-SMS.AndroidOS.OpFake 40,19%
Trojan-SMS.AndroidOS.FakeInst 28,57%
Trojan-SMS.AndroidOS.Agent 27,11%
DangerousObject.Multi.Generic 25,30%
Trojan-SMS.AndroidOS.Stealer 15,98%

Al igual que hace un año, Rusia es el líder por la cantidad de intentos de infección efectuada por troyanos SMS y no hay premisas para que la situación cambie. Como ya hemos mencionado más arriba, la mayor parte de los troyanos bancarios para dispositivos móviles tiene como blanco a los usuarios rusos.

Rusia y los países de la CEI se usan con frecuencia como un laboratorio para probar nuevas tecnologías: una vez perfeccionada la tecnología en el sector ruso de Internet, los delincuentes la empiezan a usar en ataques contra los usuarios de otros países.

Alemania

Alemania es uno de los países europeos donde funcionan los troyanos SMS.  En 2013 los escritores de virus rusos dirigieron su mirada a Europa, ya que el sistema de monetización mediante el envío de SMS a números de pago también funciona en esta región. Hemos registrado en Alemania intentos de infección con troyanos SMS, en particular de la familia Agent.

Además, en este país se usan activamente troyanos bancarios móviles: entre los países de Europa Occidental, Alemania ocupa el primer lugar por número de usuarios únicos atacados (sexto puesto en la estadística mundial).

Top 5 de familias de malware móvil propagadas en Alemania:

Familia % del total de usuarios atacados
RiskTool.AndroidOS.SMSreg 25,88%
DangerousObject.Multi.Generic 20,83%
Trojan-SMS.AndroidOS.Agent 9,25%
Trojan.AndroidOS.MTK 8,58%
AdWare.AndroidOS.Ganlet 5,92%

EE.UU

En EE.UU. las cosas son de otra forma. En este país no existen esquemas de monetización mediante SMS, por lo tanto, no predominan de una forma clara los programas maliciosos de la categoría troyano SMS. Entre los líderes hay bots que recolectan datos sobre los smartphones infectados.

Top 5 de familias de malware móvil propagadas en EE.UU.:

Familia % del total de usuarios atacados
DangerousObject.Multi.Generic 19,75%
RiskTool.AndroidOS.SMSreg 19,24%
Monitor.AndroidOS.Walien 11,24%
Backdoor.AndroidOS.GinMaster 8,05%
AdWare.AndroidOS.Ganlet 7,29%

China

En China hay muchos módulos publicitarios integrados en aplicaciones legítimas e incluso en aplicaciones maliciosas. El conjunto de funciones de los módulos es muy extenso, incluso pueden descargar malware en el teléfono de la víctima. Para China también son característicos los troyanos SMS y los backdoors.

Top 5 de familias de malware móvil propagadas en China:

Familia % del total de usuarios atacados
RiskTool.AndroidOS.SMSreg 46,43%
AdWare.AndroidOS.Dowgin 19,18%
DangerousObject.Multi.Generic 13,89%
Trojan-SMS.AndroidOS.Agent 10,55%
Trojan.AndroidOS.MTK 10,13%

Conclusión

El malware que ataca las cuentas bancarias de los usuarios de smartphones está en pleno desarrollo y su cantidad en impetuoso crecimiento. Es evidente que esta tendencia seguirá su curso: habrá cada vez más troyanos bancarios móviles que usarán nuevas tecnologías para evitar que los detecten y eliminen.

Entre las muestras de programas maliciosos móviles detectados en 2013 predominan los bots.  Los delincuentes se han dado cabal cuenta de las ventajas que ofrecen las botnets móviles para obtener ganancias. Es posible que aparezcan nuevos mecanismos de administración de botnets móviles.

Pronosticamos que 2014 será un año muy rico en la explotación de diferentes tipos de vulnerabilidades que permitirán al software malicioso echar raíces en el dispositivo y complicarán su eliminación.

En 2013 registramos por primera vez casos de ataques contra PC desde dispositivos móviles. No excluimos la posibilidad de que en el futuro haya ataques mediante Wi-Fi desde dispositivo móviles a las estaciones de trabajo y equipos de infraestructura en general que estén dentro de su radio de alcance.

Lo más probable es que los troyanos SMS sigan estando entre los líderes de todos los tipos de programas maliciosos y que conquisten nuevos territorios.

Amenazas para dispositivos móviles en 2013

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada