Autores
Evolución de las amenazas informáticas en el primer trimestre de 2024
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de amenazas móviles
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de computadoras personales
Cifras del trimestre
Según Kaspersky Security Network, en el primer trimestre de 2024:
- Se impidieron 10,1 millones de ataques de software móvil malicioso, adware o no deseado.
- La amenaza más común para los dispositivos móviles fue el adware, que constituyó el 46% del total de amenazas detectadas.
- Se detectaron más de 389 000 paquetes de instalación maliciosos, de los cuales:
- 11 729 eran troyanos bancarios móviles;
- 1990 eran troyanos ransomware móviles.
Particularidades del trimestre
El número de ataques con malware, adware o software no deseado en dispositivos móviles aumentó en relación con el mismo periodo del año pasado, aunque descendió un poco respecto al cuarto trimestre, hasta los 10 100 510.
Número de ataques a usuarios de soluciones móviles de Kaspersky, tercer trimestre de 2022 – primer trimestre de 2024 (descargar)
En gran medida, el rápido aumento del número total de ataques entre el segundo y el cuarto trimestre de 2023 se debe al incremento de la actividad de adware y troyanos, que prácticamente se duplicó en cifras absolutas durante este periodo. Sin embargo, otros tipos de aplicaciones maliciosas y no deseadas también han aumentado su actividad, por lo que la distribución de amenazas por tipo ha mostrado cambios menos drásticos.
Los ataques lanzados mediante modificaciones de WhatsApp siguieron creciendo en el primer trimestre. Por ejemplo, encontramos Trojan-Spy.AndroidOS.Agent.ahu, un troyano en un mod de WhatsApp que roba las bases de datos cifradas del mensajero, así como las claves para descifrarlas. Otra modificación maliciosa de WhatsApp, Trojan-Downloader.AndroidOS.Agent.ms, es capaz de descargar e instalar cualquier tipo de aplicaciones. Según nuestras estadísticas, este troyano venía preinstalado en algunos dispositivos.
También hemos descubierto un notable troyano bancario que ataca a usuarios de Corea. Al instalarse, muestra un mensaje de que la aplicación no está disponible y supuestamente será desinstalada:
Notificación de SoumniBot de que la aplicación no está disponible
En realidad, la aplicación oculta su icono y sigue ejecutándose en segundo plano, robando SMS, contactos, fotos e incluso certificados digitales de banca en línea. Además, para camuflar el código malicioso y dificultar el análisis, los estafadores utilizaron numerosos errores y fallas en el código del sistema operativo Android encargado de analizar el paquete de la aplicación. Así crearon archivos que logran instalarse en el dispositivo, pero que “confunden” a muchas herramientas de análisis disponibles, incluidas las utilidades oficiales de Google.
Estadísticas de las amenazas móviles
El número detectado de muestras de programas maliciosos y no deseados para Android disminuyó en el cuarto trimestre de 2023 y volvió a aumentar en el primer trimestre de 2024, con un total de 389 178 paquetes de instalación.
Número de paquetes de instalación maliciosos y no deseados detectados, primer trimestre de 2023 – primer trimestre de 2024 (descargar)
La distribución de los paquetes encontrados por tipo no experimentó muchos cambios, pero el número de troyanos droppers sí tuvo un aumento notable (en 8,76 p.p.). El fuerte aumento de su cuota se debe en gran parte a la actividad de la familia Wroba, que se utiliza para distribuir troyanos bancarios en los países de Asia-Pacífico.
Distribución de las aplicaciones móviles detectadas por tipo, cuarto trimestre de 2023* y primer trimestre de 2024 (descargar)
*Los datos del trimestre anterior pueden diferir ligeramente de los ya publicados debido a la revisión retrospectiva de algunos veredictos.
El adware (46,16%) y las aplicaciones no deseadas como RiskTool (21,27%) siguieron siendo las amenazas más comunes. Las familias de adware más numerosas fueron BrowserAd (28,5% del total de adware), Adlo (15,3%) y HiddenAd (12,65%).
Proporción* de usuarios atacados por un tipo concreto de malware o programas no deseados, del total de usuarios de productos móviles de Kaspersky atacados (descargar)
*El total puede ser superior al 100% si los mismos usuarios han sufrido más de un tipo de ataque.
HiddenAd (60,5%), Adlo (17,5%) y TimeWaste (7,5%) fueron las familias de anuncios que más atacaron a los usuarios. Mientras tanto, el troyano adware Triada mencionado en el informe anterior, que se propaga en mods de WhatsApp, realiza una parte cada vez mayor de ataques de malware de tipo troyano (35,7%).
TOP 20 de programas maliciosos móviles
La siguiente clasificación de software malicioso no incluye programas potencialmente peligrosos o no deseados, como RiskTool y programas publicitarios.
| Veredicto | %* cuarto trimestre de 2023 | %* primer trimestre de 2024 | Diferencia en p. p. | Cambio de posición |
| Trojan.AndroidOS.Triada.fd | 2.79 | 10.38 | +7.59 | +11 |
| DangerousObject.Multi.Generic. | 8.76 | 9.82 | +1.07 | 0 |
| Trojan.AndroidOS.Fakemoney.v | 6.25 | 8.60 | +2.35 | +1 |
| Trojan.AndroidOS.Boogr.gsh | 5.28 | 6.62 | +1.34 | +2 |
| Trojan.AndroidOS.Triada.ga | 0.00 | 5.66 | +5.66 | |
| Trojan-Downloader.AndroidOS.Dwphon.a | 1.85 | 5.26 | +3.41 | +13 |
| Trojan.AndroidOS.Fakemoney.bj | 0.00 | 4.26 | +4.26 | |
| DangerousObject.AndroidOS.GenericML. | 1.99 | 3.83 | +1.84 | +9 |
| Trojan-Spy.AndroidOS.SpyNote.bz | 1.03 | 3.52 | +2.48 | +18 |
| Trojan.AndroidOS.Sheetfit.d | 0.00 | 2.42 | +2.42 | |
| Trojan.AndroidOS.Triada.ex | 7.23 | 2.42 | -4.81 | -8 |
| Trojan-Downloader.AndroidOS.Agent.mm | 3.51 | 2.12 | -1.39 | -1 |
| Trojan-Dropper.AndroidOS.Agent.sm | 1.08 | 2.09 | +1.01 | +13 |
| Trojan.AndroidOS.Generic. | 2.22 | 2.08 | -0.14 | +2 |
| Trojan.AndroidOS.Piom.baiu | 0.80 | 1.95 | +1.15 | +16 |
| Trojan-Dropper.AndroidOS.Badpack.g | 2.57 | 1.87 | -0.70 | -3 |
| Backdoor.AndroidOS.Mirai.b | 5.32 | 1.76 | -3.56 | -12 |
| Trojan-Spy.AndroidOS.CanesSpy.a | 5.10 | 1.67 | -3.42 | -11 |
| Trojan.AndroidOS.Triada.et | 3.58 | 1.66 | -1.92 | -9 |
| Trojan.AndroidOS.Triada.ey | 4.33 | 1.55 | -2.79 | -11 |
* Porcentaje de usuarios únicos afectados por este malware, del total de usuarios de soluciones móviles de Kaspersky atacados.
El veredicto de nube generalizado DangerousObject.Multi.Generic cedió el primer puesto en el ranking de las aplicaciones maliciosas más comunes a la modificación WhatsApp Trojan.AndroidOS.Triada.fd. Le sigue el troyano Fakemoney, que roba a los usuarios sus datos personales, prometiéndoles dinero fácil a cambio. También es curioso que el troyano Dwphon, preinstalado en algunos dispositivos y que recopila datos personales del propietario del dispositivo y puede descargar aplicaciones arbitrarias sin el conocimiento del usuario, haya llegado a la cima.
Malware regional
En esta sección describimos los programas maliciosos que concentran su actividad en determinados países.
| Veredicto | País* | %** |
| Trojan-Banker.AndroidOS.Agent.nw | Turquía | 99,79 |
| Trojan.AndroidOS.Piom.bcqp | Turquía | 99,28 |
| Trojan-Banker.AndroidOS.BrowBot.q | Turquía | 99,28 |
| Trojan-Spy.AndroidOS.SmsThief.wk | India | 99,02 |
| Trojan.AndroidOS.Piom.bbfv | Turquía | 98,97 |
| Trojan-Banker.AndroidOS.BrowBot.a | Turquía | 98,81 |
| Trojan.AndroidOS.Piom.azgy | Brasil | 98,69 |
| HackTool.AndroidOS.FakePay.c | Brasil | 98,39 |
| Trojan-Banker.AndroidOS.Coper.b | Turquía | 98,28 |
| Trojan-Banker.AndroidOS.BrowBot.n | Turquía | 97,87 |
| Trojan-SMS.AndroidOS.EvilInst.b | Tailandia | 97,33 |
| Backdoor.AndroidOS.Tambir.c | Turquía | 97,19 |
| Trojan-Banker.AndroidOS.BRats.b | Brasil | 96,96 |
| Trojan-Spy.AndroidOS.SmsThief.tt | Irán | 96,88 |
| Trojan-Banker.AndroidOS.Rewardsteal.dn | India | 96,76 |
| Trojan-Banker.AndroidOS.Rewardsteal.c | India | 96,65 |
| Backdoor.AndroidOS.Tambir.a | Turquía | 96,58 |
| Trojan-Dropper.AndroidOS.Hqwar.hc | Turquía | 96,19 |
| Trojan-Banker.AndroidOS.UdangaSteal.b | Indonesia | 96,04 |
| Backdoor.AndroidOS.Tambir.b | Turquía | 95,55 |
| Trojan-Spy.AndroidOS.SmsThief.vb | Indonesia | 95,29 |
* País con mayor actividad de este malware.
** Porcentaje de usuarios únicos que encontraron esta modificación del troyano en el país especificado, del total de usuarios de soluciones móviles de Kaspersky atacados por la misma modificación.
Turquía sigue anegada de diferentes variantes de troyanos bancarios. En particular, los usuarios de este país están siendo atacados por Trojan-Banker.AndroidOS.Agent.nw, un troyano que abre el acceso VNC al dispositivo. Se basa en la biblioteca de código abierto droidVNC-NG. Tambir también proporciona a los atacantes acceso mediante VNC. Además, tiene funciones de keylogger, robo de SMS, listas de contactos y aplicaciones y envío de SMS. Además de backdoors VNC, en Turquía observamos una concentración de ataques de BrowBot, cuya principal funcionalidad es el robo de SMS. Piom, por su parte, es un veredicto colectivo creado para denominar diversos programas maliciosos detectados por nuestros sistemas automatizados. Concretamente en Turquía, este veredicto abarca algunas modificaciones del ya conocido troyano bancario Godfather.
En Indonesia están activos dos troyanos ladrones de SMS: SmsThief.vb y UdangaSteal.b. A menudo se envían a las víctimas bajo la apariencia de invitaciones de boda.
En Brasil, hay una notable proliferación de aplicaciones FakePay, que fingen hacer un pago, pero no lo realizan. A diferencia de muchos otros troyanos, los usuarios descargan en sus dispositivos este tipo de aplicaciones para engañar a los comerciantes de las tiendas que aceptan pagos por transferencia. El troyano bancario BRats también sigue propagándose, sobre todo en Brasil.
Los usuarios de Tailandia se han encontrado con el troyano EvilInst, que se propaga bajo la apariencia de juegos, pero en realidad se limita a abrir un sitio web con juegos pirateados y enviar SMS de pago.
Troyanos bancarios móviles
El número de nuevos paquetes únicos de instalación de troyanos bancarios se mantiene en niveles bajos.
Número de paquetes de instalación de troyanos bancarios móviles detectados por Kaspersky, primer trimestre de 2023 — primer trimestre de 2024(descargar)
No obstante, el número total de ataques de troyanos bancarios sigue creciendo, e incluso ha subido un puesto en la estructura de distribución de malware y programas no deseados que afectan a los usuarios.
TOP 10 de troyanos bancarios móviles
| Veredicto | %* cuarto trimestre de 2023 | %* primer trimestre de 2024 | Diferencia en p. p. | Cambio de posición |
| Trojan-Banker.AndroidOS.Agent.eq | 27.73 | 13.39 | -14.34 | 0 |
| Trojan-Banker.AndroidOS.Coper.b | 3.72 | 12.58 | +8.86 | +3 |
| Trojan-Banker.AndroidOS.Bian.h | 16.06 | 10.21 | -5.85 | -1 |
| Trojan-Banker.AndroidOS.Mamont.k | 2.48 | 9.18 | +6.70 | +5 |
| Trojan-Banker.AndroidOS.UdangaSteal.b | 0.00 | 7.00 | +7.00 | |
| Trojan-Banker.AndroidOS.Mamont.o | 0.00 | 4.58 | +4.58 | |
| Trojan-Banker.AndroidOS.Agent.cf | 2.79 | 4.23 | +1.44 | 0 |
| Trojan-Banker.AndroidOS.Coper.a | 0.65 | 4.21 | +3.56 | +19 |
| Trojan-Banker.AndroidOS.Rewardsteal.c | 0.55 | 3.99 | +3.45 | +20 |
| Trojan-Banker.AndroidOS.BrowBot.q | 0.00 | 2.53 | +2.53 |
* Porcentaje de usuarios únicos que se han enfrentado a este malware, el total de usuarios de las soluciones de seguridad móvil de Kaspersky atacados por amenazas bancarias.
Troyanos móviles extorsionadores
Tras el brusco repunte de las instalaciones de ransomware en el cuarto trimestre de 2023, relacionado con la aparición de un gran número de paquetes de ransomware de la familia Rasket, este índice ha vuelto a su nivel habitual en medio del descenso de la actividad de Rasket. El troyano Rasket se basa en los scripts de automatización Tasker, inventados para automatizar acciones rutinarias en un dispositivo, pero cuya funcionalidad es suficiente para escribir un ransomware.
Número de paquetes de instalación de troyanos ransomware móviles detectados por Kaspersky, primer trimestre de 2023 — primer trimestre de 2024 (descargar)
La distribución de los ataques entre las muestras más activas refleja la misma dinámica: tras un fuerte aumento de hasta el 74% de todos los ataques de ransomware, la cuota del troyano Rasket se redujo casi a la mitad en el primer trimestre.
| Veredicto | %* cuarto trimestre de 2023 | %* primer trimestre de 2024 | Diferencia en p.p. | Cambio de posición |
| Trojan-Ransom.AndroidOS.Rasket.a | 74.38 | 37.22 | -37.16 | 0 |
| Trojan-Ransom.AndroidOS.Pigetrl.a | 9.14 | 15.56 | +6.41 | 0 |
| Trojan-Ransom.AndroidOS.Rkor.eg | 5.29 | 11.59 | +6.30 | 0 |
| Trojan-Ransom.AndroidOS.Svpeng.ac | 0.22 | 11.17 | +10.95 | +19 |
| Trojan-Ransom.AndroidOS.Congur.cw | 0.51 | 10.96 | +10.45 | +2 |
| Trojan-Ransom.AndroidOS.Small.cj | 0.30 | 10.49 | +10.19 | +9 |
| Trojan-Ransom.AndroidOS.Congur.ap | 0.28 | 6.66 | +6.38 | +9 |
| Trojan-Ransom.AndroidOS.Rkor.ef | 2.00 | 6.40 | +4.40 | -4 |
| Trojan-Ransom.AndroidOS.Svpeng.ah | 0.12 | 6.03 | +5.91 | +34 |
| Trojan-Ransom.AndroidOS.Svpeng.snt | 0.07 | 5.72 | +5.64 | +47 |
Autores
De los mismos autores
En la misma categoría
Evolución de las amenazas informáticas en el primer trimestre de 2024. Estadísticas de amenazas móviles