Autores
- Evolución de las amenazas informáticas en el primer trimestre de 2023
- Evolución de las amenazas informáticas en el primer trimestre de 2023. Estadísticas de computadoras personales
- Evolución de las amenazas informáticas en el primer trimestre de 2023. Estadísticas de amenazas móviles
El presente documento contiene los veredictos de detección emitidos por los productos de Kaspersky a partir de los datos estadísticos que los mismos usuarios aceptaron proporcionar.
Cifras del trimestre
Según Kaspersky Security Network, en el primer trimestre de 2023:
- Se impidieron 4 948 522 ataques con software móvil malicioso, adware o no deseado.
- La publicidad (AdWare) fue la amenaza más común para dispositivos móviles, y representó el 34,8% de todas las amenazas detectadas.
- Se detectaron 307 529 paquetes de instalación maliciosos, de los cuales
- 57 601 eran troyanos bancarios móviles;
- 1767 eran troyanos extorsionadores móviles.
Particularidades del trimestre
El número de ataques a dispositivos móviles mediante malware, adware o software no deseado disminuyó un poco en el primer trimestre en comparación con el periodo anterior. En total, las soluciones para móviles de Kaspersky impidieron más de 4,9 millones de ataques durante este periodo.
Número de ataques a usuarios de soluciones móviles de Kaspersky, tercer trimestre de 2021 – primer trimestre de 2023 (descargar)
En el primer trimestre, descubrimos varios editores de fotos para móviles en la tienda Google Play que, aparte de funciones legítimas, contenían un dropper oculto dentro de una biblioteca muy ofuscada. El dropper contrataba suscripciones de pago e interceptaba las notificaciones del usuario.
Asignamos al hallazgo el veredicto de Trojan.AndroidOS.Subscriber.aj e informamos a Google Play, que procedió a eliminar los archivos maliciosos de la tienda. Las soluciones de Kaspersky detectan los nuevos archivos de este troyano como Trojan.AndroidOS.Fleckpe.
También en el primer trimestre, nos topamos con Trojan.AndroidOS.Bithief.f, una modificación maliciosa del mensajero Skype que roba criptomonedas a la víctima. El troyano vigila el contenido del portapapeles del dispositivo del usuario y, si detecta una dirección de cripto-monedero, la envía al servidor del atacante. En la respuesta del centro de administración del atacante, el malware recibe la dirección de la cartera del atacante y suplanta los datos copiados. Como resultado, tras pegar los datos de una billetera desde el portapapeles, el usuario desprevenido envía criptomonedas a la persona equivocada.
Estadísticas de las amenazas móviles
Tras un marcado descenso en el número de paquetes de instalación maliciosos en el cuarto trimestre del año pasado, debido a la disminución de la actividad de Trojan-Dropper.AndroidOS.Ingopack, en el primer trimestre hemos observado un ligero aumento en el número de nuevas muestras de malware.
Número de paquetes de instalación maliciosos detectados, primer trimestre de 2022 – primer trimestre de 2023 (descargar)
Distribución por tipo de programas móviles detectados
Distribución de las nuevas aplicaciones móviles detectadas por tipo, cuarto trimestre de 2022 y primer trimestre de 2023 (descargar)
El adware volvió a encabezar la lista de paquetes de instalación detectados (34,8%). Las familias más frecuentes en el primer trimestre fueron MobiDash (22,5%), HiddenAd (21,9%) y Adlo (12,4%).
Proporción de usuarios atacados por un tipo concreto de amenaza, del total de usuarios de productos móviles atacados, cuarto trimestre de 2022 y primer trimestre de 2023 (descargar)
En cuanto a la proporción de usuarios atacados, la actividad de los troyanos móviles aumentó en el primer trimestre. Esto se debe sobre todo al malware que nuestras soluciones detectan como Trojan.AndroidOS.Fakemoney.v y Trojan.AndroidOS.Adinstall.l. El primero es una falsa aplicación de inversiones que recopila los datos de pago de la víctima. El segundo es un software preinstalado en algunos dispositivos capaz de descargar y ejecutar códigos arbitrarios (normalmente publicitarios).
TOP 20 de programas maliciosos móviles
La siguiente clasificación de software malicioso no incluye programas potencialmente peligrosos o no deseados, como RiskTool y Adware.
| Veredicto | %* cuarto trimestre de 2022 | %* primer trimestre de 2023 | Diferencia en puntos porcentuales | Cambio de posición | |
| 1 | DangerousObject.Multi.Generic | 16,52 | 13,27 | -3,24 | |
| 2 | Trojan-Spy.AndroidOS.Agent.acq | 4,29 | 8,60 | +4,31 | +5 |
| 3 | Trojan.AndroidOS.Boogr.gsh | 6,92 | 8,39 | +1,47 | +1 |
| 4 | Trojan.AndroidOS.Fakemoney.v | 1,13 | 7,48 | +6,35 | +19 |
| 5 | Trojan.AndroidOS.GriftHorse.l | 8,29 | 6,13 | -2,17 | -3 |
| 6 | Trojan.AndroidOS.Generic | 7,68 | 5,95 | -1,73 | -3 |
| 7 | Trojan-Dropper.AndroidOS.Hqwar.hd | 3,06 | 4,54 | +1,49 | +2 |
| 8 | Trojan-Downloader.AndroidOS.Agent.mh | 0,00 | 3,68 | +3,68 | |
| 9 | Trojan-Spy.AndroidOS.Agent.aas | 6,18 | 3,64 | -2,53 | -3 |
| 10 | DangerousObject.AndroidOS.GenericML | 2,37 | 3,46 | +1,10 | |
| 11 | Trojan.AndroidOS.Adinstall.l | 0,28 | 3,36 | +3,08 | |
| 12 | Trojan-Dropper.AndroidOS.Agent.sl | 3,50 | 2,10 | -1,40 | -4 |
| 13 | Trojan.AndroidOS.Fakemoney.u | 0,67 | 1,64 | +0,97 | +25 |
| 14 | Trojan-Banker.AndroidOS.Bian.h | 1,43 | 1,52 | +0,10 | +3 |
| 15 | Trojan-Dropper.AndroidOS.Hqwar.gen | 1,25 | 1,47 | +0,22 | +6 |
| 16 | Trojan-Downloader.AndroidOS.Agent.kx | 1,53 | 1,43 | -0,10 | -3 |
| 17 | Trojan-SMS.AndroidOS.Fakeapp.d | 6,43 | 1,32 | -5,11 | -12 |
| 18 | Trojan.AndroidOS.Piom.auar | 0,00 | 1,06 | +1,06 | |
| 19 | Trojan-Dropper.AndroidOS.Wroba.o | 1,51 | 1,03 | -0,47 | -4 |
| 20 | Trojan-Dropper.AndroidOS.Hqwar.gf | 0,14 | 0,98 | +0,84 |
Porcentaje de usuarios únicos atacados por este malware, del total de usuarios atacados que utilizan las soluciones móviles de Kaspersky.
La primera posición la sigue ocupando el veredicto DangerousObject.Multi.Generic (13,27%), que se utiliza para detectar diversos programas maliciosos no relacionados mediante tecnología de nube. En segundo lugar se situó Trojan-Spy.AndroidOS.Agent.acq (8,60%), una modificación no oficial del malware de WhatsApp que monitoriza de forma oculta las notificaciones de los usuarios.
En tercer lugar se situó Trojan.AndroidOS.Boogr.gsh (8,39%), un veredicto colectivo para diferentes programas maliciosos que se detectan gracias a tecnologías de aprendizaje automático. Este veredicto es análogo al de DangerousObject.AndroidOS.GenericML (3,46%) pero, a diferencia de este último, no se obtiene a través de servicios de nube, sino analizando un archivo similar en la infraestructura de Kaspersky.
Le sigue la aplicación de inversión falsa Trojan.AndroidOS.Fakemoney.v mencionada en la sección anterior (7,48%) y el troyano de suscripción Trojan.AndroidOS.GriftHorse.l descrito varias veces en informes anteriores (6,13%).
Malware regional
En esta sección describiremos los programas maliciosos para móviles dirigidos principalmente a residentes de determinados países.
| Veredicto | País* | %** |
| Trojan-Banker.AndroidOS.Banbra.aa | Brasil | 99,43 |
| Trojan-Spy.AndroidOS.SmsThief.td | Indonesia | 99,08 |
| Trojan-Banker.AndroidOS.Bray.n | Japón | 99,07 |
| Trojan-Banker.AndroidOS.Banbra.ac | Brasil | 98,85 |
| Trojan-Banker.AndroidOS.Agent.la | Turquía | 98,62 |
| Trojan.AndroidOS.Hiddapp.da | Irán | 97,82 |
| Trojan.AndroidOS.Hiddapp.bk | Irán | 96,95 |
| Trojan.AndroidOS.GriftHorse.ai | Kazajistán | 96,26 |
| Trojan-Dropper.AndroidOS.Hqwar.hc | Turquía | 95,93 |
| Trojan.AndroidOS.FakeGram.a | Irán | 95,73 |
| Trojan-SMS.AndroidOS.Agent.adr | Irán | 95,07 |
| Trojan.AndroidOS.Hiddapp.bn | Irán | 95,01 |
| Trojan.AndroidOS.Piom.aiuj | Irán | 90,33 |
| Trojan-Banker.AndroidOS.Cebruser.san | Turquía | 88,28 |
| Trojan.AndroidOS.Hiddapp.cg | Irán | 88,25 |
| Backdoor.AndroidOS.Basdoor.c | Irán | 86,44 |
| Trojan-Dropper.AndroidOS.Wroba.o | Japón | 83,80 |
*País con mayor actividad de malware
** Proporción de usuarios únicos atacados por este malware en el país especificado, del total usuarios de soluciones móviles de Kaspersky atacados por el mismo malware.
En el primer trimestre, los usuarios de Brasil siguieron siendo atacados por programas maliciosos de la familia Banbra. Se trata de troyanos bancarios que hacen un uso muy activo de la función Accesibilidad para interactuar con las aplicaciones del dispositivo.
Los usuarios de Indonesia se enfrentaron a una campaña de software espía para SMS de SmsThief.td, malware que se hace pasar por servicios gubernamentales, aplicaciones del sistema o tiendas.
En Japón estuvieron muy activos los troyanos bancarios Wroba, sobre los que hemos escrito en repetidas ocasiones, y Bray, un malware para móviles que se propaga bajo la apariencia de aplicaciones útiles, como programas para bloquear llamadas no deseadas.
Los usuarios turcos fueron blanco en el primer trimestre de ataques de varios troyanos bancarios, entre ellos el troyano Agent.la, bastante primitivo, y el conocido malware Cebruser. También estuvo activo en Turquía el dropper Hqwar, que también suele utilizarse para distribuir diversos programas maliciosos bancarios.
Los usuarios iraníes se vieron enfrentados a aplicaciones Hiddapp ocultas y difíciles de eliminar, así como la familia FakeGram, que son clientes de terceros para Telegram que suscriben automáticamente a canales no deseados.
Una modificación del troyano de suscripción GriftHorse se detectó ante todo en Kazajistán. Atacar a usuarios de un país determinado es lógico para esta familia, ya que utiliza descripciones de texto de phishing de servicios que deben adaptarse al idioma de un país específico para realizar suscripciones no deseadas.
Troyanos bancarios móviles
El número de paquetes de instalación de troyanos bancarios empezó a crecer de nuevo, alcanzando más de 57 000 en el primer trimestre.
Número de paquetes instaladores de troyanos bancarios para móviles detectados por Kaspersky, primer trimestre de 2022 – primer trimestre de 2023 (descargar)
ТОР 10 de troyanos bancarios móviles
| Veredicto | %* cuarto trimestre de 2022 | %* primer trimestre de 2023 | Diferencia en puntos porcentuales | Cambio de posición | |
| 1 | Trojan-Banker.AndroidOS.Bian.h | 29,90 | 30,81 | 0,91 | |
| 2 | Trojan-Banker.AndroidOS.Faketoken.pac | 6,31 | 10,15 | 3,84 | |
| 3 | Trojan-Banker.AndroidOS.Agent.eq | 4,59 | 5,51 | 0,92 | +1 |
| 4 | Trojan-Banker.AndroidOS.Agent.ep | 3,57 | 4,40 | 0,84 | +2 |
| 5 | Trojan-Banker.AndroidOS.Svpeng.q | 5,71 | 4,05 | -1,66 | -2 |
| 6 | Trojan-Banker.AndroidOS.Banbra.aa | 1,80 | 3,72 | 1,92 | +6 |
| 7 | Trojan-Banker.AndroidOS.Agent.la | 0,16 | 3,08 | 2,92 | +85 |
| 8 | Trojan-Banker.AndroidOS.Banbra.ac | 0,57 | 2,46 | 1,89 | +23 |
| 9 | Trojan-Banker.AndroidOS.Asacub.ce | 3,46 | 2,17 | -1,29 | -1 |
| 10 | Trojan-Banker.AndroidOS.Agent.cf | 1,63 | 1,91 | 0,28 | +5 |
Porcentaje de usuarios únicos atacados por este malware, del total de usuarios de las soluciones de seguridad móvil de Kaspersky atacados por amenazas bancarias.
Los mencionados programas maliciosos para móviles Agent.la (3,08%) y Banbra (2,46%), que ni siquiera entraron en el TOP 10 el trimestre pasado, estuvieron mucho más activos este trimestre que en el anterior.
Troyanos móviles extorsionadores
Tras el descenso del ransomware móvil en 2022, la cifra se mantuvo baja. Al parecer, este nicho se ha vuelto menos atractivo para los estafadores.
Número de paquetes instaladores de ransomware para móviles detectados por Kaspersky, primer trimestre de 2022 – primer trimestre de 2023 (descargar)
TOP 10 de ransomware para dispositivos móviles
| Veredicto | %* cuarto trimestre de 2022 | %* primer trimestre de 2023 | Diferencia en puntos porcentuales | Cambio de posición | |
| 1 | Trojan-Ransom.AndroidOS.Pigetrl.a | 54,61 | 62,22 | 7,60 | |
| 2 | Trojan-Ransom.AndroidOS.Small.as | 5,42 | 3,65 | -1,77 | |
| 3 | Trojan-Ransom.AndroidOS.Rkor.dl | 0,00 | 2,23 | 2,23 | |
| 4 | Trojan-Ransom.AndroidOS.Congur.y | 1,00 | 1,78 | 0,78 | +19 |
| 5 | Trojan-Ransom.AndroidOS.Agent.bw | 2,19 | 1,60 | -0,59 | -1 |
| 6 | Trojan-Ransom.AndroidOS.Fusob.h | 2,04 | 1,55 | -0,49 | +1 |
| 7 | Trojan-Ransom.AndroidOS.Rkor.pac | 1,19 | 1,50 | 0,32 | +9 |
| 8 | Trojan-Ransom.AndroidOS.Rkor.di | 0,62 | 1,46 | 0,84 | +30 |
| 9 | Trojan-Ransom.AndroidOS.Rkor.bi | 1,62 | 1,46 | -0,16 | +2 |
| 10 | Trojan-Ransom.AndroidOS.Small.o | 2,14 | 1,32 | -0,82 | -4 |
Porcentaje de usuarios únicos atacados por este malware, del total de usuarios que utilizan las soluciones móviles de Kaspersky y fueron atacados por ransomware.
El panorama de la distribución de extorsionadores móviles entre trimestres no ha cambiado mucho. Pigetrl sigue representando la mayor de las amenazas (62,22%), seguido de Small.as (3,65%) y de diversas modificaciones de Rkor.
Autores
De los mismos autores
En la misma categoría
Evolución de las amenazas informáticas en el primer trimestre de 2023. Estadísticas de amenazas móviles