Desarrollo de las amenazas informáticas en el segundo trimestre de 2015

Números del trimestre

• Según los datos de KSN, las soluciones de Kaspersky Lab han neutralizado 379 972 834 ataques lanzados desde recursos de Internet ubicados en diferentes países del mundo.
• Nuestro antivirus web detectó 26 084 253 objetos maliciosos únicos (scripts, exploits, ficheros ejecutables, etc.).
• Se han registrado 65 034 577 direcciones URL únicas que provocaron reacciones del antivirus web.
• El 51% de los ataques bloqueados por nuestros productos se lanzó desde recursos web ubicados en Rusia.
• En total, los productos de Kaspersky Lab han registrado durante el año 5 903 377 notificaciones sobre intentos de infección con programas maliciosos que roban dinero de las cuentas bancarias online.
• Nuestro antivirus para ficheros ha detectado 110 731 713 programas nocivos únicos y potencialmente indeseables.
• Los productos de Kaspersky Lab para la protección de dispositivos móviles han detectado:
  • 1 048 129 paquetes de instalación,
  • 291 887 nuevos programas maliciosos para dispositivos móviles,
  • 630 nuevos troyanos bancarios móviles.

Generalidades

Ataques dirigidos y campañas de programas maliciosos

El asunto de los monos

Hace poco publicamos nuestro análisis de CozyDuke, otro APT de ciberespionaje de la familia ‘Duke’, de la que también son parte MiniDuke, CosmicDuke y OnionDuke. CozyDuke, también conocido como ‘CozyBear’, ‘CozyCar’ y ‘Office Monkeys’, apunta a organizaciones gubernamentales y compañías en EE.UU., Alemania, Corea del Sur y Uzbekistán.

Este ataque utiliza una variedad de sofisticadas técnicas, como codificación, capacidad antidetección y un conjunto bien desarrollado de componentes que son estructuralmente similares a anteriores amenazas de la familia ‘Duke’.

Sin embargo, una de las características más sobresalientes de CozyDuke es que recurre a la ingeniería social para penetrar en las organizaciones a las que apunta. Algunos de los mensajes de correo spear-phishing de los atacantes contienen un enlace a sitios web comprometidos, algunos legítimos y reconocidos, que alojan un archivo comprimido ZIP. Este archivo comprimido contiene un archivo RAR SFX que instala el programa malicioso mientras muestra un archivo PDF vacío como señuelo. Otra estrategia consiste en adjuntar a los mensajes de correo videos flash falsos. Un ejemplo muy claro (al que el programa malicioso debe su nombre) es ‘OfficeMonkeys LOL Video.zip’. Cuando se ejecuta, descarga un ejecutable CozyDuke en el equipo, mientras reproduce, a manera de carnada, un ‘entretenido’ video que muestra unos monos trabajando en una oficina. Entonces las víctimas se entusiasman y hacen circular el video entre sus colegas, aumentando así el número de equipos comprometidos.

Este exitoso recurso de ingeniería social, utilizado por CozyDuke y muchos otros ataques dirigidos para engañar a los empleados de una compañía e inducirlos a hacer algo que pone en peligro la seguridad corporativa, subraya la necesidad de que las compañías consideren la educación de sus empleados como una parte esencial de su estrategia de seguridad.

Naikon: recopilación de inteligencia geopolítica

En mayo publicamos nuestro informe sobre el APT Naikon. Esta amenaza fue parte de las campañas selectivas lanzadas contra blancos de importancia crítica en el sudeste de Asia y alrededor del Mar del Sur de China. Al parecer, los atacantes son chinos y han estado activos por al menos cinco años, concentrados en agencias gubernamentales de alto nivel y organizaciones militares y civiles en Filipinas, Malasia, Camboya, Indonesia, Vietnam, Myanmar, Singapur, Nepal, Tailandia, Laos y China.

Como sucede con muchas otras campañas de este tipo, los atacantes recurren a mensajes de correo spear-phishing para hacer que sus incautas víctimas descarguen el programa malicioso. Los mensajes de correo incluyen un archivo adjunto con información que captura la atención de la víctima. El archivo aparenta ser un documento normal de Word, pero en realidad se trata de un ejecutable con doble extensión, o de un ejecutable que usa el mecanismo RTLO (texto bidireccional) para camuflar la verdadera extensión del archivo. Si la víctima hace clic en el archivo, se instalará en su equipo un spyware mientras se le muestra un documento falso para disipar cualquier sospecha.

El módulo principal de Naikon es una herramienta de administración remota: este módulo soporta 48 comandos para controlar los equipos infectados. Incluye comandos para levantar un inventario completo, descargar y enviar datos, e instalar módulos de complementos. Además, Naikon utiliza a veces keyloggers para obtener las credenciales de los empleados.

A cada país atacado se le asigna su propio operador, capaz de aprovechar aspectos de la cultura local, como la tendencia a usar cuentas personales de correo para el trabajo. También utilizaron un servidor proxy específico localizado en el país correspondiente para controlar las conexiones a los equipos infectados y enviarles datos a los servidores de comando y control (C2) de los atacantes.

En nuestro sitio web están disponibles nuestro informe principal y el informe de seguimiento.

Espiando a los espías

Mientras investigábamos Naikon, descubrimos las actividades del grupo Hellsing APT. Este grupo se concentraba principalmente en organizaciones gubernamentales y diplomáticas ubicadas en Asia. La mayoría de sus víctimas se encuentra en Malasia y Filipinas, aunque también las encontramos en India, Indonesia y EE.UU.

En sí mismo, Hellsing es un grupo pequeño de ciberespionaje y que no sobresale técnicamente (atacaron a unas 20 organizaciones). Lo que lo hace interesante es que de pronto este grupo sufrió un ataque spear-phishing del grupo Naikon APT, ¡y decidió contratacar! El destinatario del mensaje de correo le cuestionó al remitente la autenticidad del mensaje enviado. Luego el atacante respondió, pero el destinatario no abrió el adjunto. En lugar de ello, poco después respondió a los atacantes con un mensaje que contenía su propio programa malicioso. Resulta claro que, tras detectar que habían sido atacados, el grupo Hellsing decidió identificar a los atacantes y obtener inteligencia sobre sus actividades.

Antes habíamos visto grupos de APT que tropezaban entre sí por accidente, por ejemplo, al robar las listas de contactos de sus víctimas, a quienes después les hacían envíos masivos de mensajes de correo. Pero un ataque de un APT contra otro es algo completamente inusual.

Grabit: Roba y huye

Muchas campañas de ataques selectivos apuntan a grandes compañías, agencias gubernamentales y otras organizaciones reconocidas. Por eso, al leer los titulares de prensa es fácil imaginarse que estas organizaciones son las únicas en el radar de los atacantes. Sin embargo, una de las campañas, sobre la que informamos el trimestre anterior, mostró claramente que los atacantes no sólo se interesan en los ‘peces gordos’. Cada compañía es un blanco potencial, por sus activos, o como una vía para infiltrarse en otra organización.

La campaña de ciberespionaje Grabit está diseñada para robar información de organizaciones medianas y pequeñas, localizadas principalmente en Tailandia, Vietnam e India, aunque también encontramos víctimas en EE.UU., Emiratos Árabes Unidos, Rusia, China, Alemania y otros países. Entre los sectores atacados están los de química, nanotecnología, educación, agricultura, medios de comunicación, y construcción. Estimamos que el grupo detrás de estos ataques ha logrado robar unos 10.000 archivos.

Este programa malicioso se propaga como un documento de Word adjunto a un mensaje de correo. El documento contiene una macro maliciosa, llamada ‘AutoOpen’. Esta macro abre un conector en TCP y envía una petición HTTP a un servidor remoto previamente comprometido por el grupo para usarlo como un hub malicioso. Después se descarga desde este servidor el programa que realiza la operación de espionaje. En algunos casos, la macro está protegida con una contraseña (al parecer los atacantes olvidaron que un archivo DOC es en realidad un archivo comprimido, y cuando un editor lo abre, las cadenas macro aparecen en texto simple). Los atacantes controlan los equipos comprometidos mediante una herramienta comercial de espionaje, llamada HawkEye (de HawkEye Products). Además, usan varias herramientas de administración remota (RATs).

Los atacantes implementaron algunas técnicas diseñadas para dificultar el análisis de Grabit, incluyendo tamaños variables de códigos, ofuscación de códigos y cifrado. En cambio, no lograron cubrir sus huellas en el sistema. El resultado es un “débil caballero en una débil armadura”, es decir, que los atacantes no escribieron todo el código por sí mismos.

El regreso de Duqu

En la primavera de 2015, durante un barrido de seguridad, Kaspersky Lab detectó una ciberintrusión que afectaba a varios sistemas internos. La investigación a gran escala de este incidente reveló que uno de los grupos más capaces, misteriosos y poderosos del mundo APT había creado una nueva plataforma de programas maliciosos Duqu, también conocido como el hermanastro de Stuxnet. A esta nueva plataforma la llamamos “Duqu 2.0”.

En el caso de Kaspersky Lab, el ataque aprovechó una vulnerabilidad día-cero en el núcleo de Windows (reparado por Microsoft el 9 de junio de 2015) y quizás otras dos (ahora reparadas) que en ese momento también eran vulnerabilidades día-cero. El objetivo principal de los atacantes era espiar las tecnologías de Kaspersky Lab, las investigaciones en curso y los procesos internos.

Sin embargo, Kaspersky Lab no fue el único blanco. Algunas infecciones de Duqu 2.0 estaban vinculadas con los acontecimientos P5+1 relacionados con las negociaciones con Irán sobre un acuerdo nuclear. Al parecer los atacantes lanzaron ataques contra las sedes de algunas de estas conversaciones de alto nivel. Además, el grupo lanzó un ataque similar relacionado con el LXX aniversario de la liberación de Auschwitz-Birkenau.

Una de las características sobresalientes de Duqu 2.0 era su falta de persistencia, por lo que apenas dejaba huellas en el sistema. El programa malicioso no hacía cambios en el disco ni en la configuración del sistema: la plataforma del programa malicioso estaba diseñada para sobrevivir casi exclusivamente en la memoria de los sistemas infectados. Esto sugiere que los atacantes estaban seguros de que podían permanecer en el sistema incluso si se reiniciaba un determinado equipo y se borraba el programa malicioso de la memoria.

El informe técnico de Duqu 2.0 y el análisis del módulo de persistencia están disponibles en nuestro sitio web.

Relatos de programas maliciosos

Simda: Juguemos al escondite

En abril, Kaspersky Lab participó en el desmantelamiento de la red zombi Simda, operación que estuvo coordinada por Interpol, a través de su oficina Global Complex for Innovation. La investigación la inició Microsoft y se amplió a otros participantes, incluyendo Trend Micro, el Instituto de Ciberdefensa, la Unidad Nacional de Delitos Tecnológicos de Holanda (NHTCU), el FBI, la Sección de Nuevas Tecnologías de la Policía de Luxemburgo, y el departamento ‘K’ contra el ciberdelito del Ministerio del Interior ruso apoyado por la Oficina Nacional Central de INTERPOL en Moscú.

A consecuencia de la operación, se desmantelaron 14 servidores en Holanda, EE.UU., Luxemburgo, Polonia y Rusia. Un análisis preliminar de algunos registros de servidores drenados reveló que la red zombi había afectado a 190 países.

Los bots se propagan mediante una serie de sitios web infectados que desvían a los visitantes hacia los paquetes de explotación. Los bots descargan y ejecutan componentes adicionales de sus propios servidores de actualización y son capaces de modificar los archivos alojados en el equipo infectado: de esta forma, una vez que se infectan, los equipos pueden seguir enviando peticiones HTTP a los servidores maliciosos, indicando que siguen siendo vulnerables a reinfecciones con los mismos paquetes de exploits.

Aunque la red zombi Simda es relativamente amplia, con un estimado de 770.000 equipos infectados, sus autores tuvieron que esforzarse mucho para poder evitar los radares de los sistemas antimalware. El programa malicioso es capaz de detectar emulaciones, herramientas de seguridad y máquinas virtuales; emplea varios métodos para detectar entornos restringidos (sandboxs) e intenta engañar a los investigadores consumiendo todos los recursos del CPU o notificando al propietario de la red zombi sobre direcciones IP externas de la red de investigación; también implementa un polimorfismo en el servidor.

Además, Simda se desactiva después de poco tiempo. Esto está estrechamente relacionado con el propósito de esta particular red zombi: es un mecanismo de propagación, diseñado para diseminar software malicioso y potencialmente no deseado. Los distribuidores buscaban garantizar que sólo el programa malicioso de su cliente se instalara en los equipos infectados.

Los productos de Kaspersky Lab son capaces de detectar cientos de miles de modificaciones de Simda, además de muchos programas maliciosos diferentes de terceras partes que se propagan a través de la red zombi Simda. Puedes utilizar nuestro escáner gratuito Simda bot IP para verificar si tu IP estuvo conectada a un servidor C2 de Simda.

Phishing: innovando técnicas

A principios de 2014, Wang Jing, un estudiante de doctorado de la Universidad Tecnológica Nanyang de Singapur, descubrió una vulnerabilidad crítica en los protocolos OAuth y OpenID. La bautizó como ‘cover redirect’, y es capaz de permitirle al atacante robar datos después de la autenticación (puedes encontrar un resumen del problema, incluyendo un enlace al blog de Jing en Threatpost).

Hace poco descubrimos una campaña de phishing que aprovecha la vulnerabilidad OAuth. OAuth deja que los usuarios de servicios online les den a terceras partes acceso limitado a sus recursos protegidos sin compartir sus credenciales. Suele utilizarse con aplicaciones para redes sociales, por ejemplo, para obtener acceso a la lista de contactos u otra información de un usuario.

El cliente de Kaspersky Lab que informó sobre el ataque recibió un mensaje de correo diciendo que alguien había usado su Windows Live ID y le pedía que pulsara un enlace al sitio de Windows Live y siguiera los requisitos de seguridad que aparecían ahí.

Parece ser una técnica regular de phishing, que desvía a la víctima hacia un sitio fraudulento. Pero en este caso, el enlace conducía al sitio legítimo. No se roban las credenciales de ingreso de la víctima que ingresa al sitio legítimo. Sin embargo, después de la autorización, la víctima recibe una petición para conceder una serie de permisos a una aplicación desconocida, como ingreso automático, acceso a su perfil, lista de contactos y direcciones de correo electrónico. Si la víctima da estos permisos, les está ofreciendo a los ciberpiratas el acceso a su información personal, que éstos podrán utilizar para distribuir spam, enlaces phishing, o para otros propósitos ilícitos.

Te ofrecemos estas recomendaciones para proteger tu información personal.

• No pulses los enlaces que recibas por mensajes de correo o de redes sociales.
• No permitas que aplicaciones no confiables accedan a tu información.
• Antes de aceptar estas peticiones, lee cuidadosamente la descripción de los derechos de acceso que solicita la aplicación.
• Busca en Internet los comentarios y análisis sobre la aplicación.
• Revisa los derechos de las aplicaciones que tienes instaladas y modifica los ajustes si fuese necesario.

Ciudades inteligentes y una seguridad no tan inteligente

En los últimos años se ha disparado el uso de sistemas CCTV (circuitos cerrados de televisión) por parte de gobiernos y agencias policiales para la vigilancia de lugares públicos. La mayoría de nosotros lo aceptamos como una compensación razonable entre seguridad y privacidad. Sin embargo, esto supone que los datos recopilados por esta tecnología se manejarán de forma segura y responsable, para garantizar que los peligros potenciales no sean superiores a los beneficios.

Muchas cámaras CCTV tienen una conexión inalámbrica a Internet, lo que le permite a la policía su monitoreo a distancia. Sin embargo, esto no es siempre seguro: es posible que los ciberpiratas monitoreen de forma pasiva las transmisiones de las cámaras de seguridad, que inyecten códigos en la red (para remplazar la transmisión de una cámara con un video falso), o que desconecten los sistemas. Dos investigadores en seguridad (Vasilios Hioureas de Kaspersky Lab y Thomas Kinsey de Exigent Systems) llevaron a cabo una investigación reciente sobre las potenciales debilidades de seguridad en los sistemas CCTV en una ciudad. (Puedes leer el informe de Vasilio en nuestro sitio web).

Los investigadores comenzaron observando los equipos de vigilancia en diferentes puntos de la ciudad. Por desgracia, la marca de las cámaras no se había ocultado, de manera que resultaba fácil determinar la marca y modelo de la cámara, examinar las especificaciones más importantes y crear su propio modelo a escala en el laboratorio. Los equipos utilizados ofrecían controles efectivos de seguridad, pero estos no estaban implementados. Los paquetes de datos que pasaban a través de la red en malla no estaban codificados, de manera que un atacante podía crear su propia versión del software y manipular los datos que pasaran por él.

Es importante remarcar que los investigadores no intentaron hackear la red verdadera, sino que analizaron el hardware y los protocolos de comunicación y construyeron un modelo a escala. La topología de red de la red de cámaras de vigilancia es distinta a una red doméstica inalámbrica normal. En una red doméstica, todos los dispositivos se conectan a Internet y entre sí mediante un router. Cualquier dispositivo conectado a dicho router podría engañar a los otros dispositivos, llevándolos a creer que se trata de un router y poder así monitorear o cambiar los datos mediante un ataque de intermediario (Man-In-The-Middle).

La red de cámaras de vigilancia es más complicada, debido a las distancias que los datos deben recorrer. Los datos deben viajar desde cualquier cámara a través de una serie de nodos hasta un hub (en una implementación en el mundo real, este podría ser una comisaría). El tráfico sigue la ruta de menor resistencia donde cada nodo tiene la habilidad de comunicarse con varios otros y seleccionar la ruta más fácil hasta el hub.

Hioureas y Kinsey construyeron una serie de nodos falsos que pretendían ofrecer una línea directa de comunicación a la comisaría simulada. Puesto que conocían todos los protocolos usados en la red, podían crear un nodo Mediador que simulara ofrecer la ruta de menor resistencia, haciendo que los nodos reales le confiaran su tráfico.

Una aplicación potencial que podrían darle los atacantes sería espiar las transmisiones de imágenes que llegan a la comisaría. Podrían entonces simular un incidente en un determinado lugar, distrayendo a la policía de un verdadero ataque que ocurriese en otro lugar de la ciudad.

Los investigadores informaron sobre estos problemas a las autoridades a cargo de los sistemas de vigilancia en la ciudad, que ahora están tratando de resolverlos. En general, es importante que en estas redes se implemente la codificación WPA, protegida por una sólida contraseña, que se retiren las etiquetas de los equipos para que los atacantes no puedan entender cómo funcionan los equipos, y que se codifiquen las transmisiones que recorren la red.

El gran problema aquí es que cada día se digitalizan más aspectos de la vida real: si en la etapa del diseño de sistemas no se toman en cuenta los aspectos de seguridad, los peligros potenciales podrían ser de largo alcance, y la actualización de la seguridad podría no ser fácil de implementar. La iniciativa Securing Smart Cities, apoyada por Kaspersky Lab, está diseñada para facilitar que los responsables de desarrollar ciudades inteligentes lo hagan sin perder de vista la ciberseguridad.

Estadísticas

Todos los datos estadísticos usados en el informe se han obtenido mediante la red antivirus distribuida Kaspersky Security Network (KSN) como resultado del funcionamiento de los diferentes componentes de protección contra los programas maliciosos. Los datos se obtuvieron en los equipos de los usuarios de KSN que confirmaron su consentimiento en enviarlos. En el intercambio global de información sobre las actividades maliciosas toman parte millones de usuarios de los productos de Kaspersky Lab de 213 países del mundo.

Amenazas para dispositivos móviles

Los programas maliciosos bancarios móviles siguen siendo una de las principales amenazas móviles. En el informe del primer trimestre de 2015 escribimos sobre el troyano Trojan-SMS.AndroidOS.OpFake.cc, que sabía atacar como mínimo a 29 bancos e instituciones financieras. La versión más reciente de este troyano puede atacar a 114 instituciones bancarias y financieras. Su principal objetivo es robar el login y contraseña de la cuenta. Con el mismo fin ataca a varias aplicaciones de correo populares.

Cabe destacar también a Trojan-Spy.AndroidOS.SmsThief.fc. Los maleantes agregaron su código a una aplicación bancaria legítima, sin afectar su funcionamiento, por lo que se hizo más difícil detectar este troyano.

En el segundo trimestre hizo su aparición un nuevo troyano para iOS: Trojan.IphoneOS.FakeTimer.a. Es interesante que existe también una versión para Android, que apareció varios años atrás. FakeTimer.a lanza ataques incluso contra los dispositivos que no han sido modificados por el jailbreaking. Su conjunto de funciones es bastante primitivo: se trata de una aplicación de phishing común y corriente, creada para robar dinero a los usuarios de Japón.

Este trimestre tuvieron protagonismo los troyanos que pueden usar los privilegios de root para mostrar publicidad a los usuarios o para instalar aplicaciones publicitarias. Según los resultados del trimestre, en el TOP 20 de programas maliciosos móviles han entrado seis de estos programas maliciosos.

Cantidad de las nuevas amenazas móviles

En el segundo trimestre de 2015 Kaspersky Lab ha detectado 291 887 nuevos programas maliciosos móviles, 2,8 veces más que en el primer trimestre de 2015.

Con esto, la cantidad de paquetes maliciosos detectados fue de 1 048 129, que es 7 veces más que en el trimestre anterior.

Número de paquetes de instalación y nuevos programas nocivos móviles detectados
(del cuarto trimestre de 2014 al segundo de 2015)

Distribución por tipos de los programas móviles detectados

Distribución por tipos de los nuevos programas maliciosos móviles, segundo trimestre de 2015

RiskTool (44,6%) lidera la estadística de los programas maliciosos para dispositivos móviles detectados en el segundo trimestre de 2015. Se trata de aplicaciones legales que son potencialmente peligrosas para los usuarios: su uso malicioso o irresponsable por parte del dueño del teléfono inteligente puede causar pérdidas financieras al usuario.

En el segundo puesto está la categoría Adware, formada por programas publicitarios potencialmente indeseables (19%).

Los troyanos SMS que durante largo tiempo lideraron en esta estadística, en el segundo trimestre ocuparon sólo el cuarto puesto con un 8,1%. Esto es un 12,9% menos que en el primer trimestre. La reducción del porcentaje de este tipo de malware está condicionada por el hecho de que las personas que antes propagaban activamente los troyanos SMS empezaron a usar métodos más transparentes de monetización (de lo que da fe el crecimiento del porcentaje de RiskTool), o bien han preferido usar programas maliciosos de otros tipos. Así, la participación de los troyanos ha crecido del 9,8% en el primer trimestre al 12,4% en el segundo.

TOP 20 de programas maliciosos móviles

A partir de este trimestre, publicaremos la estadística de programas maliciosos y en ésta no entrarán los programas potencialmente peligrosos o indeseables, como RiskTool y los programas publicitarios.

* Porcentaje de usuarios atacados por este programa malicioso, del total de los usuarios atacados

En el primer puesto de la estadística está DangerousObject.Multi.Generic (17,5%). Este es el nombre que las tecnologías “en la nube” de Kaspersky Security Network asignan a las aplicaciones maliciosas. Estas tecnologías hacen que nuestros productos reaccionen con rapidez ante las amenazas nuevas y desconocidas.

Trojan-SMS.AndroidOS.Podec.a (9,7%) está en el TOP 3 de amenazas móviles por tres trimestres consecutivos, lo que se debe a su activa propagación.

Trojan-SMS.AndroidOS.Opfake.a (8,0%) está escalando con gran velocidad hacia la cima de la lista. Si en el tercer trimestre de 2014 se encontraba en el undécimo puesto, ahora está en el TOP 3 de las amenazas móviles del segundo trimestre de 2015. En el puesto 15 también está un representante de esta familia, Obfake.bo.

También hacemos notar la aparición de Backdoor.AndroidOS.Obad en el TOP 20, directamente en el cuarto puesto. Escribimos sobre esta amenaza hace dos años y desde entonces su conjunto de funciones casi no ha cambiado.

Otro aspecto interesante es que, a pesar de que en esta estadística no entran los programas publicitarios, 6 programas del TOP 20 usan la publicidad como manera principal de monetización. A diferencia de los módulos publicitarios comunes y corrientes, Trojan.AndroidOS.Rootnik.a, tres programas de la familia Trojan.AndroidOS.Ztorg, Trojan-Downloader.AndroidOS.Leech.a y Trojan.AndroidOS.Fadeb.a, no tienen ninguna función útil. Su fin es mostrar al usuario la mayor cantidad de publicidad posible de diversas maneras, entre ella la instalación de nuevos programas de publicidad. Estos troyanos pueden usar los derechos de root para ocultarse en el directorio del sistema, desde donde será muy difícil eliminarlos.

Troyanos bancarios móviles

En el periodo que abarca nuestro informe hemos detectado 630 troyanos bancarios móviles. Cabe destacar que el crecimiento de la cantidad de nuevos programas en esta categoría se ha ralentizado en gran medida.

Cantidad de troyanos bancarios móviles en la colección de Kaspersky Lab
(tercer trimestre de 2014 – segundo trimestre de 2015)

Territorios de propagación de las amenazas bancarias móviles en el segundo trimestre de 2015
(cantidad de usuarios atacados)

La cantidad de usuarios atacados depende del número total de usuarios en el país. Para evaluar y comparar el riesgo de infección que representan los troyanos bancarios móviles en diferentes países, hemos elaborado la estadística de países según el porcentaje de usuarios atacados por estos.

TOP 10 de países según el porcentaje de usuarios atacados por los troyanos bancarios móviles

*Hemos excluido de la lista a los países donde la cantidad de usuarios del antivirus móvil de Kaspersky es relativamente pequeña (menos de 10 000).
** Porcentaje en el país de usuarios únicos atacados por los troyanos bancarios móviles, del total de usuarios del antivirus móvil de Kaspersky Lab en el país.

Los troyanos bancarios se están propagando con más virulencia en Corea. Los delincuentes también son tradicionalmente activos en Rusia y los países del espacio postsoviético. Son precisamente estos países los que han ocupado cuatro de los cinco primeros puestos de la lista.

Un indicador de la popularidad que gozan los troyanos bancarios móviles entre los delincuentes de cada país puede ser la relación entre la cantidad de usuarios atacados por lo menos una vez en el trimestre con la del total de usuarios en el mismo país en cuyos equipos se disparó por lo menos una vez el antivirus móvil. Esta lista se diferencia de la de más arriba.

TOP 10 de países por la cantidad de usuarios atacados por troyanos bancarios móviles, del total de todos los usuarios atacados

*Hemos excluido de la lista a los países donde la cantidad de usuarios del antivirus móvil de Kaspersky es relativamente pequeña (menos de 10 000).
** Porcentaje de usuarios únicos en el país atacados por troyanos bancarios móviles, en relación al total de usuarios únicos de este país atacados por malware móvil.

En Corea casi un tercio del total de usuarios fueron atacados por programas maliciosos móviles, entre ellos troyanos bancarios móviles. En Rusia los troyanos bancarios móviles atacaron a uno de cada diez usuarios. En los demás países este índice es menor. Es curioso que de los 5 los países más seguros por la probabilidad de infección con malware móvil (ver abajo), 4 han entrado a este TOP. Se trata de Australia, Austria, Japón y Suiza.

Geografía de las amenazas móviles

Mapa de intentos de infección por programas maliciosos móviles en el segundo trimestre de 2015
(porcentaje del total de usuarios atacados)

TOP 10 de países según el porcentaje de usuarios atacados por los troyanos bancarios móviles:

*Hemos excluido de la lista a los países donde la cantidad de usuarios del antivirus móvil de Kaspersky es relativamente pequeña (menos de 10 000).
** Porcentaje en el país de usuarios únicos atacados por los troyanos bancarios móviles, del total de usuarios del antivirus móvil de Kaspersky Lab en el país.

El líder de esta lista es China, donde durante el trimestre el 16,34% de los usuarios de nuestro producto sufrieron ataques por lo menos una vez. En el segundo puesto está Malasia, con un 12,65%. Rusia (8,05%), Ucrania (8,39%) y Bielorrusia (8,05%) cierran el TOP 10, por debajo de los países de Asia y África.

En esta lista Corea ocupó el undécimo lugar con un 7,46%. Recordamos que en Corea los troyanos bancarios móviles son muy populares entre los delincuentes: son responsables de haber atacado al 31,72% del total de usuarios atacados por malware móvil.

Los países más seguros según este criterio son:

Aplicaciones vulnerables usadas por los delincuentes

La siguiente clasificación de las aplicaciones vulnerables se basa en los datos de los exploits usados por los delincuentes tanto en los ataques mediante Internet como en las aplicaciones locales afectadas, entre ellas en los dispositivos móviles de los usuarios, y que bloquearon nuestros productos.

Distribución de los exploits usados en los ataques de los delincuentes, según tipos de aplicaciones atacadas, segundo trimestre de 2015

La distribución de los exploits casi no ha cambiado en comparación con el primer trimestre. Siguen liderando la estadística los exploits para navegadores de Internet (60%). En este momento la mayoría de los paquetes de exploits contienen exploits para Adobe Flash Player e Internet Explorer. Cabe destacar el aumento significativo en el número de exploits para Adobe Reader (+6 puntos porcentuales). Esto está relacionado con la gran cantidad de envíos de spam que contienen documentos PDF maliciosos.

También notamos la ya tradicional disminución de la cantidad de exploits para Java (-4 puntos porcentuales). En el segundo trimestre apenas hemos detectado nuevos exploits para Java.
En el segundo trimestre observamos el uso de nuevas vulnerabilidades para Adobe Flash Player:

• CVE-2015-3113
• CVE-2015-3104
• CVE-2015-3105
• CVE-2015-3090

A pesar de que los exploits para Adobe Flash Player sólo constituyen el 3% en nuestra estadística, en el mundo real son más. Al leer esta estadística es necesario tomar en cuenta que las tecnologías de Kaspersky Lab detectan los exploits en diversas etapas. En la categoría “Navegadores” también se enumeran las detecciones de las páginas de aterrizaje que reparten los exploits. Según nuestras observaciones, con frecuencia se trata de exploits para Adobe Flash Player.

Programas maliciosos en Internet (ataques mediante la web)

Los datos estadísticos de este capítulo han sido recopilados por el antivirus web, que protege a los usuarios cuando descargan objetos maliciosos de una página web maliciosa o infectada. Los delincuentes crean sitios maliciosos adrede, pero también los sitios legítimos se pueden infectar si su contenido lo crean los usuarios (como en el caso de los foros), o si son víctimas de hackeo.

Amenazas online en el sector bancario

En el segundo trimestre de 2015 las soluciones de Kaspersky Lab neutralizaron los intentos de ejecución de programas maliciosos que roban dinero mediante el acceso a cuentas bancarias en los equipos de 755 642 usuarios. En comparación con el trimestre anterior (929 082) este índice ha disminuido en un 18,7%. En el segundo trimestre de 2014 afectó a 735 428 equipos.

En total, los productos de Kaspersky Lab han registrado durante el año 5 903 377 notificaciones sobre intentos de infección con programas maliciosos que roban dinero de las cuentas bancarias online.

Número de ataques del software financiero malicioso contra los usuarios, segundo trimestre de 2015

Territorios de los ataques

En el segundo trimestre de 2015 hemos introducido modificaciones en el método que usamos para elaborar la estadística de países según las actividades de los troyanos bancarios. En los informes anteriores usábamos el número de usuarios atacados para hacer la estadística. Este es un índice importante, pero depende de la cantidad de los usuarios de los productos de Kaspersky Lab en los diferentes países.

Para evaluar y comparar el riesgo de infección con troyanos bancarios al que están expuestos los ordenadores de los usuarios en diferentes países del mundo, hemos calculado para cada país el porcentaje de usuarios de productos de Kaspersky Lab que se vieron afectados por esta amenaza en durante el trimestre.

Territorios afectados por los ataques del software malicioso en el segundo trimestre de 2015 (porcentaje de usuarios atacados)

TOP-10 de países según el porcentaje de usuarios atacados

* En los cálculos hemos excluido a los países en los que la cantidad de usuarios de ordenadores es relativamente baja (menos de 10.000).
**Porcentaje de usuarios únicos que fueron víctimas de ataques web, de entre el total de los usuarios únicos de los productos de Kaspersky Lab en el país.

En el segundo trimestre de 2015 Singapur es el país que está en el primer lugar por la cantidad de usuarios de Kaspersky Lab atacados por troyanos bancarios. Cabe destacar que en la mayoría de los países del TOP 10 el nivel de desarrollo tecnológico o de los sistemas bancarios es alto, lo que captura la atención de los delincuentes cibernéticos.

En Rusia el 0,75% de los usuarios se topó por lo menos una vez con troyanos bancarios; en EE.UU., el 0,89%; en España, el 2,02%, en Inglaterra, el 1,58% y en Alemania, el 1,16%.

TOP 10 de familias de malware bancario

TOP 10 de las familias de programas maliciosos usados para lanzar ataques contra los usuarios de la banca online en el primer trimestre de 2015 (según la cantidad de usuarios atacados):

La aplastante mayoría de los programas maliciosos del TOP-10 usan la técnica de inyectar un código HTML arbitrario en la página que está visualizando el navegador e interceptar los datos de pago ingresados por el usuario en los formularios originales y los falsificados.

Los primeros tres puestos de malware bancario no ha cambiado en comparación con el trimestre anterior. Trojan-Downloader.Win32.Upatre sigue siendo el líder de esta parte de la estadística. Los programas maliciosos de esta familia son bastante simples, de un tamaño no superior a los 3,5 Kb y por lo general descargan un troyano bancario de la familia conocida como Dyre/Dyzap/Dyreza. La lista de instituciones financieras atacadas por este troyano bancario depende de la configuración que se le envíe desde el centro de administración.

En el segundo trimestre de 2015 han aparecido nuevos troyanos bancarios en la estadística: Backdoor.Win32.Caphaw, Trojan-Banker.AndroidOS.Marcher y Trojan-Banker.AndroidOS.Faketoken

Backdoor.Win32.Caphaw se detectó por primera vez en 2011 y usa la técnica de Man-in-the-Browser para robar los datos de pago del cliente de banca online.

Trojan-Banker.AndroidOS.Faketoken y Trojan-Banker.AndroidOS.Marcher atacan los dispositivos móviles que usan el sistema operativo Android. Faketoken funciona en combinación con los troyanos bancarios para PC. Para difundirlos, los delincuentes cibernéticos usan técnicas de ingeniería social. Cuando el cliente infectado visita la página de banca online, el troyano la modifica y ofrece descargar una aplicación Android que supuestamente protegerá la transacción. En realidad, el enlace lleva a la aplicación Faketoken. Una vez que Faketoken se instala en el teléfono inteligente de la víctima, los delincuentes obtienen acceso a la cuenta bancaria mediante un ordenador infectado, y el dispositivo móvil les permite interceptar la contraseña del sistema de autentificación de dos factores (mTAN). El segundo troyano bancario móvil es Trojan-Banker.AndroidOS.Marcher. Después de infectar un dispositivo móvil, espera que se ejecuten dos aplicaciones: el cliente de banca móvil de un banco europeo y Google Play. Si el usuario entra a la tienda Google Play, Marcher le muestra una ventana falsificada de Google Play para que ingrese los datos de la tarjeta, que después caen en manos de los delincuentes. El troyano actúa de una forma similar si el usuario abre una aplicación bancaria.

Amenazas financieras

Las amenazas financieras no se limitan al malware bancario que ataca a los clientes de los sistemas de banca online.

Número de ataques del software malicioso financiero

En comparación con el trimestre anterior, ha aumentado la cantidad de software bancario malicioso, del 71% al 83%. La segunda amenaza financiera más popular en el segundo trimestre fueron los miners de Bitcoin, software malicioso que aprovecha la potencia del equipo de la víctima para generar bitcoins. El trimestre anterior esta categoría de malware estaba en el tercer puesto. Cabe destacar que algunos desarrolladores de software legítimo también instalan programas de minado de Bitcoin en sus aplicaciones.

TOP 20 de objetos detectados en Internet

Durante el segundo trimestre de 2015 nuestro antivirus web detectó 26 084 253 objetos maliciosos únicos (scripts, exploits, ficheros ejecutables, etc.).

De entre todos los objetos maliciosos y potencialmente indeseables hemos destacado los 20 más activos, que en conjunto representan el 96,5% del total de ataques en Internet.

TOP 20 de objetos detectados en Internet

* Veredictos de detección pertenecientes al módulo del antivirus web. Esta información la han hecho posible los usuarios de los productos de KL que expresaron su consentimiento para la transmisión de datos estadísticos.
** Porcentaje del total de ataques web registrados en los ordenadores de usuarios únicos.

En el TOP 20 tienen representación mayoritaria los veredictos que se aplican a los objetos usados en ataques drive-by, y a los programas de publicidad.

La agresiva propagación de programas publicitarios se ha reflejado una vez más en esta estadística: diez de las veinte posiciones las ocupan objetos que se clasifican como programas publicitarios. El primer puesto lo ocupa el script AdWare.JS.Agent.bg, que los programas publicitarios inyectan al azar en páginas web. Este último hasta ha logrado desplazar a Malicious URL, un veredicto para enlaces de la lista de rechazados que ocupó el segundo puesto según los totales del trimestre.

También vale la pena mencionar la aparición del veredicto AdWare.AndroidOS.Xynyin.a, que usa una plataforma atípica para esta clasificación. El programa que corresponde a este veredicto es un módulo publicitario para Android que se integra en diferentes aplicaciones, por ejemplo en los programas que ofrecen acelerar el funcionamiento del teléfono. Una de estas aplicaciones gozó de popularidad en marzo y abril de este año, cuando los usuarios las descargaban activamente. En vista de que estas aplicaciones no se pueden encontrar en Google Play, los que las quieren instalar las buscaban en Internet y las descargaban sobre todo a sus PC.

El veredicto Trojan-Ransom.JS.Blocker.a es un script que mediante la renovación cíclica de la página trata de bloquear el navegador y muestra un mensaje de que es necesario pagar una “multa” a determinada billetera electrónica por haber visto materiales indebidos. Este script se suele encontrar con mayor frecuencia en los sitios de pornografía.

Países-fuente de ataques web: Top 10

Esta estadística muestra la distribución según país de las fuentes de ataques web bloqueados por el antivirus en los ordenadores de los usuarios (páginas web con redirecciones a exploits, sitios con exploits y otros programas maliciosos, centros de administración de botnets, etc.). Hacemos notar que cada host único puede ser fuente de uno o más ataques web.

Para determinar el origen geográfico de los ataques web se usó el método de comparación del nombre de dominio con la dirección IP real donde se encuentra el dominio dado y la definición de la ubicación geográfica de la dirección IP (GEOIP).

El segundo trimestre de 2015 las soluciones de Kaspersky Lab han neutralizado 379 972 834 ataques lanzados desde recursos de Internet ubicados en diferentes países del mundo. El 89% de las notificaciones sobre ataques web bloqueados se obtuvo durante el bloqueo de los ataques lanzados desde recursos web ubicados en diez países.

Distribución por países de las fuentes de ataques web, segundo trimestre de 2015

El líder de nuestra estadística no ha cambiado y sigue siendo Rusia (51%), con una participación que aumentó en un 11,27%. Suiza, que estaba presente en el TOP 10 del trimestre anterior, lo ha abandonado. En el octavo puesto, con un índice del 1,56% está Singapur.

Países en los cuales los usuarios han estado bajo mayor riesgo de infectarse mediante Internet

Para evaluar el riesgo de infección a través de Internet al que están expuestos los ordenadores de los usuarios en diferentes países del mundo, hemos calculado con qué frecuencia durante el año los usuarios de los productos de Kaspersky Lab en cada país se han topado con la reacción del antivirus web. Los datos obtenidos son el índice de la agresividad del entorno en el que funcionan los ordenadores en diferentes países.

La presente estadística contiene los veredictos de detección del módulo del antivirus web que enviaron los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para el envío de datos estadísticos.

* En los cálculos hemos excluido a los países en los que la cantidad de usuarios de ordenadores es relativamente baja (menos de 10.000).
**Porcentaje de usuarios únicos que fueron víctimas de ataques web, de entre todos los usuarios únicos de los productos de Kaspersky Lab en el país.

En el segundo trimestre de 2015 Rusia ha vuelto a ocupar el primer puesto, subiendo desde el segundo que ocupaba el trimestre anterior. En comparación con el primer trimestre, han abandonado el TOP 20 los Emiratos Árabes Unidos, Letonia, Tayikistán, Túnez y Bulgaria. Siria acaba de ingresar en la lista y ocupa el cuarto lugar (30,83). Tailandia ocupa el séptimo (31,56%); Vietnam el décimo (30,83%); China (27,70%) y Macedonia (26,67%) los puestos decimosexto y decimoctavo respectivamente.

Entre los países más seguros para navegar en Internet están Argentina (13,2%), los Países Bajos (12,5%), Corea (12,4%), Suecia (11,8%), Paraguay (10,2%) y Dinamarca (10,1%).

En promedio, durante el trimestre el 23,9% de los ordenadores en el mundo ha sufrido por lo menos un ataque web.

Amenazas locales

Un indicador crucial es la estadística de infecciones locales de los ordenadores de los usuarios. En estos datos se enumeran los objetos que han entrado en el equipo infectando archivos o memorias extraíble, o aquellos que inicialmente entraron en forma velada (por ejemplo los programas incluidos en los instaladores complejos, archivos cifrados, etc.).

En este apartado analizaremos los datos estadísticos obtenidos del funcionamiento del antivirus que escanea los ficheros en el disco duro en el momento en que se los crea o cuando se los lee, y los datos del escaneo de diferentes memorias extraíbles.

El segundo trimestre de 2015 nuestro antivirus para ficheros ha detectado 110 731 713 diferentes programas nocivos y potencialmente indeseables.

Objetos detectables encontrados en los ordenadores de los usuarios: Top 20

* Veredictos de detección de los módulos OAS y ODS del antivirus, que fueron proporcionados por los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para la transmisión de datos estadísticos.
**Porcentaje de usuarios únicos en cuyos ordenadores el antivirus detectó este objeto, del total de usuarios únicos de los productos de Kaspersky Lab y en los que ocurrió la detección.

Es tradición que en esta lista se enumeren los veredictos aplicados a los programas publicitarios y sus componentes (como por ejemplo AdWare.BAT.Clicker.af) y a los gusanos propagados en memorias extraíbles.

El único representante de los virus, Virus.Win32.Sality.gen, sigue perdiendo posiciones. El porcentaje de equipos infectados por este virus se viene reduciendo desde hace un largo tiempo. Este trimestre Sality ocupa el decimocuarto puesto con un 2,86%, que es 0,32% menor que el trimestre anterior.

Países en los que los ordenadores de los usuarios han estado bajo mayor riesgo de infección local

Para cada uno de los países hemos calculado qué porcentaje de usuarios de los productos de Kaspersky Lab se ha topado con las reacciones del antivirus de ficheros durante el periodo que abarca el informe. La presente estadística refleja el nivel de infección de los ordenadores personales en diferentes países del mundo.

TOP 20 de países según su cantidad de ordenadores infectados

La presente estadística contiene los veredictos de detección del módulo OAS y ODS del antivirus que proporcionaron los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para el envío de datos estadísticos. Hemos tomado en cuenta los programas maliciosos encontrados directamente en los ordenadores de los usuarios o en las memorias extraíbles conectadas a éstos: memorias USB, tarjetas de memoria de cámaras, teléfonos y discos duros externos.

* En los cálculos hemos excluido a los países en los cuales la cantidad de usuarios de los productos de Kaspersky Lab es relativamente pequeña (menos de 10.000).
** Porcentaje de usuarios únicos en cuyos ordenadores se detectaron amenazas locales, de entre la cantidad total de usuarios de productos de Kaspersky Lab en el país.

Este trimestre Bangladesh ocupa el primer puesto con un 60,53%, desplazando al segundo puesto a Vietnam, que fue el líder durante los dos últimos años. Pakistán (58,79%) subió del puesto 13, que ocupaba el trimestre pasado, al tercero.

Los nuevos de la estadística son Georgia, que de entrada ocupó el quinto lugar (57,8%); Rusia, que ocupa el undécimo puesto (55%); Túnez el decimosexto (53,7%) y Ucrania el decimonoveno (53%).

Los países con el menor nivel de infección son Suecia (19,7%), Dinamarca (18,4%) y Japón (15,5%).

En promedio, en el mundo por lo menos una vez durante el trimestre se detectaron amenazas locales en el 40% de los equipos de los usuarios, un 0,2% más que en el primer trimestre.