Boletín de seguridad de Kaspersky

Boletín de seguridad Kaspersky. Enero-junio de 2006. Programas dañinos para dispositivos móviles

Dinámica de la aparición de nuevos programas dañinos

A principios de 2006 los creadores de virus “móviles” demostraron un elevado grado de actividad al publicar una gran serie de programas dañinos de renovadas cualidades para teléfonos celulares. Sus obras se caracterizaban por la variedad de plataformas a las que apuntaban y por las tendencias de expansión en el campo de las tecnologías móviles, que todavía están poco estudiadas.


Hacia febrero y marzo, la cantidad de nuevos programas dañinos para dispositivos móviles había crecido hasta alcanzar los 5-7 ejemplares por semana, acercándose en algunos momentos a la decena. A principio del año existían cerca de 150 muestras de todos los virus conocidos para Symbian. Al llegar el verano ya eran casi 300. Varias compañías antivirus incluyeron datos similares en sus informes, pero es difícil determinar el número exacto, debido a las diferencias entre los métodos de detección de los distintos antivirus.


En el segundo trimestre de 2006, el crecimiento de la cantidad de los nuevos especimenes se detuvo, tanto en las familias ya conocidas, como en las nuevas.


Aumento de la cantidad de variantes de virus móviles

Los autores de virus continuaron perfeccionando sus conocimientos y habilidades, prestando especial atención a los métodos de lucha contra los programas antivirus y a hacer posible que el PC se contagie al entrar en contacto con la memoria del teléfono (los troyanos Cardtrap instalan diferentes programas troyanos en los sistemas Win32).


En lo que se refiere a los virus conocidos con anterioridad, este último semestre, el gusano ComWar, que se propagaba vía MMS, fue el más difundido en el tráfico MMS. Por el contrario, la difusión de Cabir empezó a decaer. Aunque en invierno, empezando desde diciembre, recibíamos informes regulares (hasta de nuestros empleados) sobre casos de ataques en el metro (subterráneo) de Moscú realizados por Cabir, en verano dejamos de recibirlos.

Realizaciones conceptuales en el primer semestre de 2006

Sistema operativo Symbian

Ha empezado la época de los troyanos-espías comerciales para Symbian. En abril se descubrió el primer espía completamente funcional, que sus creadores vendían en un sitio web a un precio de 50 dólares americanos: Flexispy toma el control total del teléfono inteligente y envía al delincuente información sobre las llamadas hechas y los SMS enviados.

Sistema operativo Windows Mobile

El sistema operativo para teléfonos inteligentes y comunicadores segundo en popularidad, Windows Mobile, también recibió su dosis de atención. En el primer semestre de 2006, se duplicó el número de virus conocidos para Windows Mobile. Por supuesto, esta duplicación se debió a que hasta ahora existían sólo dos virus (Duts y la puerta trasera Brador), pero los que aparecieron este año, sin duda, son “creaciones” conceptuales, capaces de liderar las tendencias de las creaciones de los demás autores de virus.

Virus multiplataforma

El virus Cxover puede considerarse el primero capaz de atacar varias plataformas móviles. Al ser activado, el virus identifica el sistema operativo y si es un ordenador personal, busca dispositivos móviles a través de ActiveSync. A continuación, el virus envía una copia de sí mismo al dispositivo encontrado vía ActiveSync. Al llegar al teléfono o PDA, el virus trata de realizar el procedimiento inverso, es decir, copiarse al ordenador. También puede eliminar del dispositivo móvil los datos del usuario.


El gusano Letum, descubierto en abril, continuó con el tema de las múltiples plataformas. Los delincuentes usaban las posibilidades de los medios de programación .NET, que funcionan tanto en los ordenadores personales, como en los dispositivos Windows Mobile. Letum es un gusano postal común y corriente, que se propaga por medio de los datos adjuntos a los mensajes de correo electrónico y se envía a sí mismo a todas las direcciones del programa de correo, que también existe en los teléfonos inteligentes. Con esto, la frágil frontera entre los virus móviles y para PC casi se ha desvanecido. Ahora, ambos dispositivos pueden contagiarse el uno al otro, y este puede ser el problema más serio del futuro inmediato.


Los celulares también son un blanco para los delincuentes


Sin embargo, el suceso más significativo no ocurrió en el campo de los teléfonos inteligentes. Por vez primera, se registró la infección de teléfonos celulares comunes (es decir, no inteligentes) que usan la plataforma J2ME para ejecutar ciertas aplicaciones.


Algo que parecía imposible resulto real. Prácticamente todos los teléfonos móviles existentes son susceptibles de ser infectados: es evidente que el troyano estuvo funcionando en el mundo real, y causó víctimas. El troyano recibió el nombre de Trojan-SMS.J2ME.RedBrowser.a Acto seguido, descubrimos una nueva variante.


La aparición de programas troyanos para J2ME es un acontecimiento tan serio como la aparición del primer gusano para smartphones en junio de 2004. Por el momento es difícil estimar todas las amenazas potenciales, sin embargo, el hecho de que los teléfonos celulares son mucho más numerosos que los smartphones, y la posibilidad de aprovechar los teléfonos infectados ya ha sido realizada por los delincuentes, nos obliga a empezar las investigaciones en el campo de la creación de antivirus para este tipo de dispositivos.

La hibridación como método de creación de nuevas familias de virus

La estadística de aparición de nuevas familias de virus en 2006 es la siguiente:

Nombre Fecha ÎÑ Funciones Fundamento tecnológico
Trojan-SMS.J2ME.RedBrowser Fegrero J2ME Envíos masivos de SMS Java, SMS
Worm.MSIL.Cxover Marzo .NET Elimina archivos y se copia a otros dispositivos Archivo (API), Red (API)
Worm.SymbOS.StealWar Marzo Symbian Robo de información, propagación vía BlueTooth y MMS Bluetooth, MMS, Archivo (API)
Email-Worm.MSIL.Letum Ìàðò .NET Propagación vía correo electrónico Correo electrónico, Archivo (API)
Trojan-Spy.SymbOS.Flexispy Abril Symbian Robo de información
Trojan.SymbOS.Rommwar Abril Symbian Reemplaza las aplicaciones del sistema Vulnerabilidad del sistema operativo
Trojan.SymbOS.Arifat Abril Symbian
Trojan.SymbOS.Romride Junio Symbian Reemplaza las aplicaciones del sistema Óÿçâèìîñòü ÎÑ

Aumento de las familias de virus móviles

Un factor importante de la aparición de nuevas familias de virus móviles es la “hibridación” de los virus. Es demostrativo el ejemplo de Worm.SymbOS.StealWar. En realidad, es la combinación de dos programas que ya conocíamos: el espía Pbstealer y el gusano ComWar. El autor de StealWar los juntó en un solo módulo y resultó un gusano que tiene los rasgos de sus “padres” (roba datos de la libreta de direcciones y se envía a sí mismo por MMS). Semejantes “mutaciones” existían antes. Por ejemplo, muchas variantes de Skuller o SingleJump contienen modificaciones del gusano Cabir, lo que provoca constantes problemas a las compañías antivirus cuando tienen que clasificar estos “mutantes”.

¿La calma que precede a la tormenta?

Como ya hemos indicado más arriba, en el segundo trimestre de 2006 el crecimiento de la cantidad de los nuevos especimenes se detuvo, tanto en las familias ya conocidas, como en las nuevas.


El sector de los virus móviles se ha desarrollado de una forma predecible y uniforme durante casi dos años desde el momento de su aparición. El cambio de su dinámica tuvo lugar hace unos pocos meses, y todavía es temprano para hacer un pronóstico completo. No obstante, es necesario analizar las causas de estos cambios.


En la vanguardia del desarrollo de nuevas tecnologías siempre están los entusiastas conceptuales. Los virus para teléfonos celulares son un campo poco cultivado, y su desarrollo en la etapa actual depende casi totalmente de estos entusiastas. Así, podemos suponer que la reducción de la actividad en el campo de los nuevos virus móviles conceptuales guarda relación con la aparición de un nuevo blanco más “apetitoso” para sus investigadores. Podrían ser, por ejemplo, las numerosas vulnerabilidades en los programas del paquete MS Office, descubiertas a finales de la primavera y principios del verano.


Como nos enseña la teoría de los virus informáticos, aparte de los entusiastas, la comunidad de autores de virus contiene además dos importantes grupos sociales: los delincuentes cibernéticos, profesionales dedicados a escribir o propagar virus con fines de lucro; y los “script kiddies”, snobs de baja calificación que utilizan métodos trillados para crear sus variantes de programas dañinos, que son de segunda clase y se caracterizan por su primitivismo.


En lo que respecta a los delincuentes cibernéticos, todavía está lejos el momento en que se conviertan en una fuerza motriz en el campo de los virus móviles. En este momento, los teléfonos más usados son los de mediana complejidad: desde los más sencillos hasta los teléfonos inteligentes. Estos aparatos no ofrecen posibilidades técnicas para la creación de virus potentes orientados a fines de lucro, y no tienen suficiente memoria para guardar información que pueda ser de verdadero interés para los delincuentes cibernéticos. Y sin embargo, ya ha llegado la primera golondrina para estos dispositivos: el troyano-espía Flexispy para Symbian OS, que envía a su autor información sobre los SMS y las llamadas.


Y los “script kiddies” están activos en dependencia de lo que hagan los primeros dos grupos de autores de virus. Por esto, los “script kiddies” se han calmado, cansados de engendrar primitivos troyanos DoS para Symbian.


Sin duda, la calma observada en el frente de los dispositivos móviles es un fenómeno temporal. El volumen de ventas de teléfonos inteligentes está en crecimiento, el conjunto de sus funciones también se está expandiendo y por esto, la expansión de los autores de virus en el campo móvil es inevitable. Para afirmar que estamos observando la calma que precede a la tormenta, sólo nos faltan parámetros objetivos. El tiempo nos dirá la verdad. Sobre todo el periodo de otoño-invierno en el hemisferio norte.

Tendencias y pronósticos

En nuestra opinión, uno de los factores clave que determinará el desarrollo de los virus móviles en el futuro, es la difusión y el crecimiento de la cantidad de teléfonos inteligentes y comunicadores: tan pronto como la cantidad de teléfonos inteligentes sea comparable a la cantidad de ordenadores personales, se igualaran también los riesgos.


Según las investigaciones realizadas por la compañía analítica IDC, en los tres primeros meses de 2006, en todo el mundo se vendieron casi 19 millones de teléfonos inteligentes. Esto significa un aumento de más del 67% en comparación con el mismo periodo de 2005. Todavía no tenemos los datos del segundo semestre de este año, pero es evidente que las cifras serán equiparables.


Si probamos a sumar las cifras de venta de teléfonos inteligentes de varios años, desde el momento en que salieron a la venta, en el presente la cantidad total de estos dispositivos es de más de 50 millones. De estos 50 millones, aproximadamente el 40-50% pertenece a Nokia. Esto significa que usan el sistema operativo Symbian, que en este momento es la principal plataforma de funcionamiento de los virus móviles, entre ellos los gusanos Cabir y ComWar. Los programas dañinos que contienen el prefijo SymbOS en su nombre son casi el 100% del “zoológico” móvil. En el próximo semestre, Symbian OS seguirá siendo el principal blanco de los malhechores.


No excluimos la posibilidad de que en 2007 la cantidad de teléfonos inteligentes se acerque a los 100 millones. Sin duda, semejante cantidad de víctimas potenciales atraerá la atención de importantes estratos de autores de virus y delincuentes cibernéticos.


En abril de este año, realizamos nuestra propia investigación sobre el tema de la difusión de los teléfonos inteligentes, sus fabricantes y sus sistemas operativos. La investigación se realizó en la exposición InfoSecurity London y sus resultados se publicaron en un artículo especial.


Según los resultados de nuestra investigación, aproximadamente el 23% de la cantidad total de los dispositivos que usan el protocolo Bluetooth, son teléfonos inteligentes. De estos, más del 80% tienen la función Object Transfer.d Esta función es necesaria para la propagación de los virus móviles que usan Bluetooth (los gusanos Cabir y ComWar, los troyanos PbStealer, Skuller, etc). Estas cifras nos hacen centrar una vez más nuestra atención en uno de los principales problemas de la seguridad móvil moderna: el protocolo Bluetooth.


De hecho, cualquier propietario de un teléfono inteligente que tenga Bluetooth en régimen “público/visible para todos”, ya se convierte en víctima potencial a ataques no sólo de gusanos móviles, sino también de hackers, que usan una de las muchas vulnerabilidades del protocolo Bluetooth. Siguen estando vigentes para los usuarios las recomendaciones de limitar el uso de Bluetooth (deshabilitarlo o usarlo en modo de “invisibilidad”), a las que vale agregar la exigencia de prestar mucha atención a los MMS entrantes.


Sin embargo, no hay que olvidar al segundo en popularidad sistema operativo para teléfonos inteligentes y comunicadores: Windows Mobile. La presencia de dispositivos con Windows Mobile está creciendo a pasos agigantados en el mercado, lo que se refleja en la proporción de los virus para Symbian y Windows Mobile. Además, la elaboración de programas dañinos para WinMobile es más sencilla desde el punto de vista de la disponibilidad de información, medios de programación y gracias a su estrecha vinculación con las plataformas Windows más difundidas.


Desde luego, las compañías antivirus les pisan los talones a los autores de virus. El constante crecimiento de las amenazas móviles exige soluciones adecuadas, capaces de proteger a los usuarios. En este año, muchos de los líderes del mercado antivirus ya han lanzado sus versiones de antivirus para teléfonos inteligentes. Mencionamos el lanzamiento de la versión beta de Kav Mobile 2.0, la beta del antivirus BitDefender, ESET, la versión para WinMobile de Trend Micro y las soluciones completas para operadores telefónicos de McAfee.


Poco a poco la presencia de protección antivirus en los teléfonos se está convirtiendo en un factor importante en la defensa de los datos confidenciales.

Boletín de seguridad Kaspersky. Enero-junio de 2006. Programas dañinos para dispositivos móviles

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada