Informes sobre malware

Evolución de las ciberamenazas en el primer trimestre de 2022. Estadísticas sobre amenazas móviles

La presente estadística contiene los veredictos de detección emitidos por los productos de Kaspersky y proporcionados por los usuarios que dieron su consentimiento para el envío de sus datos estadísticos.

Cifras del trimestre

Según Kaspersky Security Network, en el primer trimestre de 2022:

  • Se neutralizaron 6 463 414 ataques lanzados mediante software malicioso, publicitario o no deseado para dispositivos móviles.
  • El software potencialmente no deseado (RiskTool) representó la mayor parte de todas las amenazas detectadas en los dispositivos móviles con el 48,75%.
  • Se detectaron 516 617 paquetes de instalación maliciosos, de los cuales:
    • 53 947 eran troyanos bancarios para dispositivos móviles;
    • 1942 resultaron ser troyanos ransomware para dispositivos móviles.

Particularidades del trimestre

En el primer trimestre de 2022, la actividad de los delincuentes se mantuvo más o menos igual que a finales de 2021, a juzgar por el número de ataques a dispositivos móviles. Pero, en general, se mantuvo la tendencia a la baja en el número de ataques.

Número de ataques a los usuarios de las soluciones móviles de Kaspersky, primer trimestre de 2020 – primer trimestre de 2022 (descargar)

Una característica curiosa de este trimestre es el gran número de diferentes aplicaciones fraudulentas distribuidas a través de tiendas oficiales. A menudo se las publicaba acompañadas de una calificación falsa de la aplicación en la página de la tienda y de la publicación de reseñas falsas, por supuesto, positivas. En nuestro ranking de malware del primer trimestre, las aplicaciones de este tipo ocuparon siete de cada veinte lugares.

Un tipo de estafa que ha ido ganando popularidad desde el año pasado son las aplicaciones fraudulentas de pagos sociales. La aplicación móvil remite al usuario a una página web en la que, tras introducir sus datos personales, se le muestra una cuantiosa suma por una supuesta indemnización, pero para recibirla tiene que pagar una tasa de transferencia o de “gastos legales”. Una vez transferido el dinero, la tarea de la aplicación se considera completada pero el usuario se queda sin recibir nada.

Aplicaciones de estafa dirigidas a usuarios de habla rusa Aplicaciones de estafa dirigidas a usuarios de habla rusa
Aplicaciones de estafa dirigidas a usuarios de habla rusa Aplicaciones de estafa dirigidas a usuarios de habla rusa

Aplicaciones de estafa dirigidas a usuarios de habla rusa

Otro esquema fraudulento habitual son las aplicaciones que dan acceso a algún tipo de bolsa para invertir en la industria del gas. La aplicación remite al usuario a una falsa página web de intercambio en la que puede “formar su capital de inversión”. Por supuesto, todo el dinero depositado se envía inmediatamente a los delincuentes.

Otras variantes de aplicaciones fraudulentas comienzan a cobrar costosas suscripciones semanales pocos días después de su instalación, o suscriben al usuario a servicios de SMS de pago.

Una aplicación para elegir una dieta Keto descuenta dinero de la tarjeta bancaria sin avisar al usuario

Una aplicación para elegir una dieta Keto descuenta dinero de la tarjeta bancaria sin avisar al usuario

Una aplicación para elegir una dieta Keto descuenta dinero de la tarjeta bancaria sin avisar al usuario

Otro hallazgo del trimestre son las diversas aplicaciones de microcréditos dirigidas a usuarios de México e India. Este tipo de aplicaciones, que hemos clasificado dentro de la familia de software potencialmente no deseado RiskTool.AndroidOS.SpyLoan, solicitan acceso a SMS, listas de contactos y fotos del usuario. Si un pago está atrasado, los cobradores pueden empezar a llamar a la lista de contactos del usuario o chantajearlo con divulgar información personal.

Vimos otro caso similar en Brasil: un servicio de microcréditos ofrecía a los usuarios instalar una aplicación en su teléfono para obtener un préstamo, que bloqueaba el teléfono en caso de retraso en el pago.

Estadísticas sobre amenazas móviles

En el primer trimestre de 2022, Kaspersky detectó 516 617 paquetes de instalación maliciosos, 79 448 menos que en el trimestre anterior y 935 043 menos que en el primer trimestre de 2021.

Número de paquetes de instalación maliciosos detectados, primer trimestre de 2021 – primer trimestre de 2022 (descargar)

Distribución por tipo de los programas móviles detectados

Distribución de las nuevas aplicaciones móviles detectadas por tipo, cuarto trimestre de 2021 y primer trimestre de 2022 (descargar)

De todas las amenazas detectadas en el primer trimestre de 2022, casi la mitad eran aplicaciones potencialmente no deseadas de RiskTool (48,75%), lo que supone un descenso de 3,21 puntos porcentuales respecto al trimestre anterior. Como ya es tradición, la mayoría de las aplicaciones detectadas de este tipo pertenecían a la familia SMSreg (61,37%).

AdWare (16,92%) ocupó el segundo lugar, con una cuota que también disminuyó en 10,01 puntos porcentuales. Los objetos de la familia Ewind (28,89%) fueron las amenazas de esta clase detectadas con más frecuencia. Les siguen las familias Adlo (19,84%) y HiddenAd (12,46%).

En tercer lugar se encuentran varios troyanos, cuya cuota aumentó en 10,32 puntos porcentuales, alcanzando el 14,68%. Los objetos de las familias Mobtes (44,35%), Piom (32,61%) y Boogr (14,32%) fueron los que más contribuyeron.

TOP 20 de programas maliciosos móviles

La siguiente clasificación de software malicioso no incluye programas potencialmente peligrosos o no deseados, como RiskTool y Adware.

Veredicto %*
1 DangerousObject.Multi.Generic 20,45
2 Trojan.AndroidOS.Fakemoney.d 10,73
3 Trojan-SMS.AndroidOS.Fakeapp.d 7,82
4 Trojan-SMS.AndroidOS.Fakeapp.c 5,36
5 Trojan-Spy.AndroidOS.Agent.aas 4,93
6 Trojan.AndroidOS.Fakeapp.ed 4,45
7 Trojan.AndroidOS.Fakemoney.g 3,28
8 Trojan-Dropper.AndroidOS.Agent.sl 2,94
9 DangerousObject.AndroidOS.GenericML 2,55
10 Trojan.AndroidOS.Fakeapp.dw 2,40
11 Trojan-Ransom.AndroidOS.Pigetrl.a 2,14
12 Trojan.AndroidOS.Soceng.f 2,14
13 Trojan.AndroidOS.Fakemoney.i 2,13
14 Trojan-Downloader.AndroidOS.Agent.kx 1,63
15 Trojan-SMS.AndroidOS.Agent.ado 1,62
16 Trojan.AndroidOS.Fakeapp.ea 1,55
17 Trojan-Downloader.AndroidOS.Necro.d 1,47
18 Trojan-Dropper.AndroidOS.Hqwar.gen 1,36
19 Trojan.AndroidOS.GriftHorse.l 1,26
20 SMS-Flooder.AndroidOS.Dabom.c 1,19

* Porcentaje de usuarios únicos atacados por este malware, del total de usuarios atacados que utilizan las soluciones móviles de Kaspersky.

En el primer trimestre de 2022, hubo muchas novedades en el ranking de malware. Las cubrimos en la sección de Particularidades del trimestre. El primer lugar lo vuelve a ocupar el veredicto DangerousObject.Multi.Generic (20,45%), que utilizamos para el malware detectado a través de tecnologías de la nube. Trojan.AndroidOS.Fakemoney.d (10,73%) pasó del tercer puesto al segundo. Otros miembros de la familia también ocuparon los puestos séptimo y decimotercero. Se trata de aplicaciones fraudulentas que ofrecen a los usuarios la posibilidad de solicitar supuestas prestaciones sociales. La mayoría de los usuarios atacados por el malware son de Rusia, Kazajistán y Ucrania.

Los troyanos de la familia Trojan-SMS.AndroidOS.Fakeapp (7,82% y 5,36%) quedaron en tercer y cuarto lugar. Estos programas maliciosos son capaces de enviar SMS y hacer llamadas a números preestablecidos, mostrar anuncios y ocultar su icono en el dispositivo. Ocupa el quinto lugar Trojan-Spy.AndroidOS.Agent.aas (4,93%), una modificación de la popular aplicación WhatsApp que contiene un módulo de software espía.

En sexto lugar está Trojan.AndroidOS.Fakeapp.ed (4,45%). Este veredicto abarca las aplicaciones fraudulentas dirigidas a usuarios de Rusia para supuestas inversiones en la industria del gas.

En octavo lugar está Trojan-Dropper.AndroidOS.Agent.sl (2,94%), un dropper que descomprime y ejecuta un troyano bancario en el dispositivo. La mayoría de los usuarios a los que atacó estaban en Rusia, Alemania y Turquía.

El noveno lugar fue para el veredicto DangerousObject.AndroidOS.GenericML (2,55%). Estos veredictos se aplican a los archivos que nuestros sistemas basados en el aprendizaje automático consideran maliciosos. En el décimo lugar está Trojan.AndroidOS.Fakeapp.dw (2,40%): bajo este veredicto se encuentran varias aplicaciones de estafa, como las que ofrecen ganancias adicionales.

El undécimo puesto fue para Trojan-Ransom.AndroidOS.Pigetrl.a (2,14%), que bloquea la pantalla y pide al usuario que introduzca un código para desbloquearla. El troyano no da ninguna instrucción sobre cómo obtener el código, pero el propio código está incrustado en el cuerpo del malware.

En la duodécima posición está Trojan.AndroidOS.Soceng.f (2,14%), que envía mensajes SMS a los contactos, borra archivos de la tarjeta de memoria y cubre las aplicaciones más populares con su ventana. En el decimocuarto está Trojan-Downloader.AndroidOS.Agent.kx (1,63%), que descarga aplicaciones de adware.

El troyano-SMS.AndroidOS.Agent.ado (1,62%), que envía SMS a números cortos de tarificación adicional, ocupa el decimoquinto lugar. Un puesto más abajo está Trojan.AndroidOS.Fakeapp.ea (1,55%), otra variante de aplicación fraudulenta que ofrece invertir en la industria del gas.

En el decimoséptimo lugar tenemos a Trojan-Downloader.AndroidOS.Necro.d (1,47%), utilizado para descargar y ejecutar otro malware en el dispositivo infectado. El siguiente en la lista es Trojan-Dropper.AndroidOS.Hqwar.gen (1,36%), un dropper utilizado para desempaquetar y lanzar varios troyanos bancarios en un dispositivo.

El decimonoveno puesto es para Trojan.AndroidOS.GriftHorse.l (1,26%), otra aplicación fraudulenta que mencionamos en las Peculiaridades del trimestre. Este troyano inscribe al usuario en servicios de SMS de pago. SMS-Flooder.AndroidOS.Dabom.c (1,19%), cuya tarea principal es el envío masivo de SMS, ocupó el último lugar del ranking.

Geografía de las amenazas móviles

Mapa de los intentos de infección de malware para móviles, primer trimestre de 2022 (descargar)

TOP 10 de países según el porcentaje de usuarios atacados por malware móvil:

Países* %**
1 Irán 35,25
2 China 26,85
3 Yemen 21,23
4 Omán 19,01
5 Arabia Saudita 15,81
6 Argelia 13,89
7 Argentina 13,59
8 Brasil 10,80
9 Ecuador 10,64
10 Marruecos 10,56

* Hemos excluido de la clasificación a aquellos países en los que el número de usuarios de las soluciones de seguridad móvil de Kaspersky es relativamente bajo (menos de 10 000).
** Proporción de usuarios únicos atacados en el país, del total de usuarios de las soluciones de seguridad móvil de Kaspersky en el país.

En el primer trimestre de 2022, Irán (35,25%) sigue siendo el líder por el porcentaje de infecciones en los países. De todas las amenazas, las más frecuentes en este país fueron los molestos módulos publicitarios de las familias Notifyer y Fyben. En segundo lugar se encuentra China (26,85%), donde los usuarios se toparon con mayor frecuencia con Trojan.AndroidOS.Boogr.gsh y Trojan.AndroidOS.Najin.a. En tercer lugar está Yemen (21,23%), con Trojan-Spy.AndroidOS.Agent.a como la amenaza móvil más común en ese país.

Troyanos bancarios móviles

El número detectado de paquetes instaladores de troyanos bancarios para móviles siguió aumentando después del descenso ocurrido en 2021: durante el periodo cubierto por el informe detectamos 53 947 paquetes de este tipo, un aumento de 15 594 en comparación con el cuarto trimestre de 2021, y 28 633 con el primer trimestre de 2021. El aumento del número de paquetes se debió sobre todo a la familia Trojan-Banker.AndroidOS.Bray, que representó el 80,89% de todos los troyanos bancarios móviles detectados. Trojan-Banker.AndroidOS.Fakecalls quedó en segundo lugar (8,75%), y Trojan-Banker.AndroidOS.Cebruser en tercero (2,52%).

Número de paquetes de instaladores de troyanos bancarios para móviles detectados por Kaspersky, primer trimestre de 2021 – primer trimestre de 2022 (descargar)

ТОР 10 de troyanos bancarios móviles

Veredicto %*
1 Trojan-Banker.AndroidOS.Bian.h 18,68
2 Trojan-Banker.AndroidOS.Anubis.t 12,52
3 Trojan-Banker.AndroidOS.Svpeng.q 8,63
4 Trojan-Banker.AndroidOS.Agent.ep 8,24
5 Trojan-Banker.AndroidOS.Asacub.ce 4,98
6 Trojan-Banker.AndroidOS.Agent.eq 4,56
7 Trojan-Banker.AndroidOS.Sova.g 2,75
8 Trojan-Banker.AndroidOS.Gustuff.d 2,62
9 Trojan-Banker.AndroidOS.Agent.cf 2,39
10 Trojan-Banker.AndroidOS.Hqwar.t 2,32

* Porcentaje de usuarios únicos atacados por este malware, del total de usuarios de las soluciones de seguridad móvil de Kaspersky atacados por amenazas bancarias.

Geografía de las amenazas de la banca móvil, primer trimestre de 2022 (descargar)

TOP 10 de países según el porcentaje de usuarios atacados por troyanos bancarios móviles

Países* %**
1 España 1,80
2 Turquía 1,07
3 Australia 0,54
4 China 0,35
5 Italia 0,17
6 Japón 0,15
7 Colombia 0,13
8 Yemen 0,09
9 Corea del Sur 0,08
10 Malasia 0,07

* Excluimos de la clasificación a aquellos países donde el número de usuarios de las soluciones de seguridad móvil de Kaspersky es relativamente bajo (menos de 10 000).
** Porcentaje de usuarios únicos atacados por troyanos bancarios móviles en un país en relación con todos los usuarios de las soluciones de seguridad móvil de Kaspersky en ese país.

En el primer trimestre de 2022, España (1,80%) tuvo la mayor cantidad de usuarios únicos atacados por amenazas financieras móviles. En este país, casi tres cuartas partes de los ataques (74,58%) fueron lanzados por el Trojan-Banker.AndroidOS.Bian.h, el líder de nuestro TOP 10. El segundo lugar fue para Turquía (1,07%), donde Trojan-Banker.AndroidOS.Bian.h (42,69%) fue también el más frecuente. En tercer lugar se encuentra Australia (0,54%), donde Trojan-Banker.AndroidOS.Gustuff.d fue el más activo (95,14%).

Troyanos móviles extorsionadores

En el primer trimestre de 2022, detectamos 1942 paquetes instalables de ransomware para móviles, 2371 menos que en el trimestre anterior y 1654 menos que en el primer trimestre de 2021.

Número de paquetes de instaladores de ransomware para móviles detectados por Kaspersky, primer trimestre de 2021 – primer trimestre de 2022 (descargar)

TOP 10 de ransomware para dispositivos móviles

Veredicto %*
1 Trojan-Ransom.AndroidOS.Pigetrl.a 78,77
2 Trojan-Ransom.AndroidOS.Rkor.br 5,68
3 Trojan-Ransom.AndroidOS.Rkor.bs 1,99
4 Trojan-Ransom.AndroidOS.Small.as 1,89
5 Trojan-Ransom.AndroidOS.Rkor.bi 1,59
6 Trojan-Ransom.AndroidOS.Rkor.bt 1,58
7 Trojan-Ransom.AndroidOS.Rkor.bp 1,41
8 Trojan-Ransom.AndroidOS.Rkor.bh 0,93
9 Trojan-Ransom.AndroidOS.Rkor.bn 0,88
10 Trojan-Ransom.AndroidOS.Rkor.bl 0,76

* Porcentaje de usuarios únicos atacados por este malware, del total de usuarios atacados por ransomware que utilizan las soluciones móviles de Kaspersky.

En el primer trimestre de 2022, Trojan-Ransom.AndroidOS.Pigetrl.a (78,77%) siguió siendo el líder entre los troyanos extorsionadores. En particular, el 94% del número total de ataques con este troyano procedía de Rusia. La familia Trojan-Ransom.AndroidOS.Rkor está muy por delante del líder: Rkor.br (5,68%) y Rkor.bs (1,99%).

Geografía de los troyanos de ransomware para móviles, primer trimestre de 2022 (descargar)

TOP 10 de países según el porcentaje de usuarios atacados por troyanos extorsionadores móviles:

Países* %**
1 Yemen 0,43
2 Kazajstán 0,34
3 China 0,28
4 Kirguistán 0,08
5 Moldavia 0,03
6 Arabia Saudita 0,02
7 Rusia 0,02
8 Egipto 0,02
9 Ucrania 0,02
10 Lituania 0,02

* Excluimos de la clasificación a los países donde el número de usuarios de las soluciones de seguridad móvil de Kaspersky es relativamente bajo (menos de 10 000).
** Porcentaje de usuarios únicos atacados por troyanos extorsionadores móviles, del total de usuarios de las soluciones de seguridad para dispositivos móviles de Kaspersky en el país o territorio.

Yemen (0,43%) lidera el grupo de los países con mayor número de ataques de troyanos extorsionadores a dispositivos móviles. Le siguen Kazajstán (0,34%) y China (0,28%). En Yemen, Trojan-Ransom.AndroidOS.Pigetrl.a fue el troyano más común, mientras que en Kazajistán y China lo fue Trojan-Ransom.AndroidOS.Rkor.

Evolución de las ciberamenazas en el primer trimestre de 2022. Estadísticas sobre amenazas móviles

Su dirección de correo electrónico no será publicada.

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada