Informes sobre malware

Desarrollo de las amenazas informáticas en el segundo trimestre de 2020. Estadísticas del malware para dispositivos móviles

Panorama de las ciberamenazas en el segundo trimestre de 2020
Desarrollo de las amenazas informáticas en el segundo trimestre de 2020. Estadísticas del malware para dispositivos móviles

La presente estadística contiene los veredictos de detección proporcionados por los usuarios de los productos de Kaspersky que dieron su consentimiento para el envío de datos estadísticos.

Números del trimestre

Según los datos de Kaspersky Security Network, en el segundo trimestre:

  • Se detectaron 1 245 894 paquetes de instalación maliciosos, de los cuales
    • 38 951 eran troyanos bancarios móviles;
    • 3 805 eran troyanos extorsionadores.
  • Se bloquearon 14 204 345 ataques a dispositivos móviles.

Particularidades del trimestre

Empezaremos este resumen analizando el número de ataques a dispositivos móviles realizados por los delincuentes. En el segundo trimestre de 2019, neutralizamos 15 137 884 ataques; un año después, este número disminuyó un poco, a 14 204 345 ataques.

Número de ataques a dispositivos móviles, primer trimestre de 2019 – segundo trimestre de 2020 (descargar)

La ausencia de cambios notables sugiere que los creadores de virus no redujeron su actividad en medio de la pandemia del coronavirus. Asimismo, esto indica que no tuvo lugar ninguna epidemia de una familia o clase particular de amenazas móviles. En otras palabras, ninguna alcanzó el nivel de Asacub en el segundo trimestre de 2020, lo que es una buena noticia.

Sin embargo, en el último trimestre los usuarios de las soluciones de seguridad móvil de Kaspersky se toparon con mayor frecuencia con archivos maliciosos y, en menor grado, con adware y aplicaciones potencialmente no deseadas.

Porcentaje de usuarios que se toparon con diferentes clases de amenazas, segundo trimestre de 2020 (descargar)

Por ejemplo, el número de usuarios en cuyos dispositivos se detectaron aplicaciones de adware es casi la mitad de aquellos que tenían malware de diversas clases. Al mismo tiempo, las aplicaciones publicitarias son el líder indiscutible por el número de objetos detectados, tanto en el segundo trimestre como en los anteriores. La peculiaridad de las aplicaciones publicitarias o las aplicaciones con un módulo de publicidad integrado es que es muy difícil para el usuario del dispositivo identificar y eliminar dichas aplicaciones. Las aplicaciones, por supuesto, no advierten al usuario que mostrarán banners en media pantalla, o incluso en pantalla completa; sin instrumentos especiales resulta imposible detectarlas en el sistema operativo y comprender qué tipo de aplicación está en la pantalla, si no fue el usuario quien la inició.

Dichas aplicaciones pueden encontrarse en la tienda oficial de Google Play, pero para nuestro gran pesar, no todos los desarrolladores se esmeran en eliminar los anuncios cuestionables dentro de su aplicación.

Sin duda, la buena noticia del segundo trimestre de 2020 es la disminución en la cantidad de dispositivos en los que se detectó software de acoso. Son varias las hipótesis que intentan explicar el importante descenso que hemos visto desde el cuarto trimestre de 2019; nos referiremos a ellas en el apartado correspondiente.

Estadísticas de las amenazas móviles

En el segundo trimestre de 2020, Kaspersky detectó 1 245 894 paquetes de instalación maliciosos: 93 232 paquetes más que en el trimestre anterior.

Número de paquetes de instalación de malware detectados, segundo trimestre de 2019 — tercer trimestre de 2019 (descargar)

A lo largo de los últimos trimestres, hemos visto un aumento en la cantidad de objetos detectados. Una situación similar tuvo lugar a principios de 2018, cuando se detectó una multitud de troyanos dropper y programas potencialmente no deseados.

Distribución por tipos de los programas móviles detectados

Distribución por tipo de los nuevos programas móviles detectados, primer y segundo trimestre de 2020 (descargar)

En el primer lugar entre todas las amenazas detectadas se encuentran las aplicaciones de adware (48%), que disminuyeron en 1 pp respecto al trimestre anterior. Las aplicaciones de adware más comunes en el segundo trimestre fueron la familia Ewind (60,53% de todas las aplicaciones de adware detectadas). En el segundo puesto está la familia FakeAdBlocker (13,14%) y en el tercero, la familia Inoco (10,17%).

Las utilidades de RiskTool potencialmente no deseadas ocuparon el segundo lugar entre todas las clases de amenazas detectadas. Su participación fue del 20%, 8 pp menos que en el trimestre anterior y 21 pp menos que en el segundo trimestre de 2019.

La mayor parte del malware del tipo RiskTool detectada fueron SMSreg (44,6% de todas las aplicaciones potencialmente no deseadas detectadas), Resharer (12,63%) y Dnotua (11,94%).

El tercer lugar entre todas las amenazas detectadas le pertenece a los troyanos SMS (7,59%). Se cree que es una clase de amenazas en peligro de extinción, ya que, comparado con una cuenta móvil, una cuenta bancaria parece un objetivo mucho más tentador para los delincuentes. Pero ambos se pueden controlar desde un dispositivo móvil. Las familias más numerosas de troyanos SMS detectadas fueron: Agent (33,74%), Fakeinst (26,80%) y Opfake (26,33%). Las tres familias eran las más comunes entre los usuarios rusos, lo que es típico de toda la clase de amenazas Trojan-SMS. Muy por detrás le siguen los usuarios de Irán. Las familias Opfake y Fakeinst también son líderes por el número de detecciones en dispositivos de usuario final, cada una con el 23% de todos los usuarios únicos atacados por troyanos SMS. La familia Prizmes (21%) está en tercer lugar y la familia Agent (16%), en cuarto.

Las familias Opfake y Fakeinst se encuentran entre las amenazas móviles más antiguas conocidas por Kaspersky. Con bastante certeza, se puede argumentar que su descubrimiento fuera de laboratorio es un eco de grandes campañas pasadas. El que la mayoría del malware que detectamos ya no tenga sus centros de control en funcionamiento parece confirmar esta hipótesis. Dado que el principal medio de distribución de estos troyanos son los sitios web falsos de aplicaciones, se puede suponer que, durante el autoconfinamiento, es más probable que los usuarios recurran a dichos recursos en busca de contenido gratuito y, aumentando así las estadísticas de las familias.

TOP 20 de programas maliciosos móviles

La siguiente clasificación de software malicioso no incluye programas potencialmente peligrosos o indeseables, como RiskTool y Adware.

Veredicto %*
1 DangerousObject.Multi.Generic 40,29
2 Trojan.AndroidOS.Boogr.gsh 9,02
3 DangerousObject.AndroidOS.GenericML 6,17
4 Trojan-Downloader.AndroidOS.Necro.d 4,86
5 Trojan-Dropper.AndroidOS.Hqwar.cf 3,63
6 Trojan.AndroidOS.Hiddad.fi 3,19
7 Trojan-Downloader.AndroidOS.Helper.a 2,84
8 Trojan-Downloader.AndroidOS.Agent.hy 2,64
9 Trojan.AndroidOS.Agent.vz 2,32
10 Trojan-Downloader.AndroidOS.Agent.ik 2,06
11 Trojan.AndroidOS.Handda.san 2,04
12 Trojan.AndroidOS.MobOk.v 1,89
13 Trojan-Downloader.AndroidOS.Agent.ic 1,84
14 Trojan.AndroidOS.MobOk.x 1,67
15 Trojan-Dropper.AndroidOS.Hqwar.gen 1,54
16 Trojan-Dropper.AndroidOS.Helper.n 1,45
17 Trojan-Banker.AndroidOS.Rotexy.e 1,36
18 Trojan-Downloader.AndroidOS.Malota.a 1,29
19 Trojan-Dropper.AndroidOS.Penguin.e 1,24
20 Trojan.AndroidOS.Dvmap.a 1,13

* Porcentaje de usuarios únicos atacados por este programa malicioso, del total de los usuarios del antivirus móvil de Kaspersky que sufrieron ataques.

El primer lugar en el Top 20 del segundo trimestre, como ya es tradición, lo ocupa el veredicto DangerousObject.Multi.Generic (40,29%), que utilizamos para el malware detectado mediante tecnologías de nube. Estas tecnologías funcionan cuando en las bases antivirus todavía no hay datos que ayuden a detectar el programa malicioso, pero en la nube de la compañía antivirus ya hay información sobre el objeto. En esencia, así se detectan los programas maliciosos más nuevos.

El segundo y tercer lugar lo ocuparon, respectivamente, Trojan.AndroidOS.Boogr.gsh (9,02%) y DangerousObject.AndroidOS.GenericML (6,17%). Tales veredictos se asignan a los archivos que nuestros sistemas de aprendizaje automático reconocen como maliciosos.

Trojan-Downloader.AndroidOS.Necro.d (4,86%) ocupó el cuarto lugar, como en el trimestre anterior. Esta es una familia de troyanos estrechamente relacionada con el grupo de complejas amenazas de varias clases llamado Triada, así como con la familia de troyanos xHelper, cuyos representantes ocuparon los puestos séptimo y decimosexto en el ranking. Una característica distintiva de los troyanos Necro, y que crea problemas a sus víctimas, es su capacidad de aumentar sus derechos de acceso para afianzarse en el dispositivo. Una vez obtenidos los derechos de root, el troyano puede afianzarse en el área de solo lectura del dispositivo para que el usuario no pueda eliminarlo con los medios estándar.

Los lugares quinto y decimoquinto del ranking lo ocuparon miembros de la familia Trojan-Dropper.AndroidOS.Hqwar. Este es el dropper más popular encontrado en condiciones reales: si echamos un vistazo a la cantidad de droppers de varias familias detectados, vemos que Hqwar está en segunda posición, justo después del veredicto generalizado Agent. En el segundo trimestre de 2020, la proporción de la familia Hqwar respecto al total de droppers detectados aumentó en gran medida, hasta alcanzar el 30,32%, contra el 8% del primer trimestre.

Los tres droppers más detectados

Veredicto %
Agent 30,38%
Hqwar 30,32%
Wapnor 30,12%

El sexto puesto en la estadística lo ocupa Trojan.AndroidOS.Hiddad.fi (3,19%) que, entre otras funciones, sabe ocultar sus actividades y mostrar pancartas publicitarias

Las posiciones octava, décima y decimotercera fueron ocupadas por representantes de la familia Trojan-Downloader.AndroidOS.Agent. La tarea de estos troyanos es muy sencilla: descargar módulos desde el servidor de administración y ejecutarlos. Los módulos descargables suelen ser programas publicitarios, pero hemos visto que la carga útil también puede incluir otros troyanos.

Trojan.AndroidOS.Agent.vz ocupó el noveno lugar (2,32%). Aparentemente, este troyano es una carga útil para otro malware, y la tarea de Agent.vz también se reduce a descargar código ejecutable. Parece evidente que este malware es solo un eslabón intermedio en la cadena de infección.

Trojan Trojan.AndroidOS.Handda.san ocupó el undécimo lugar (2,04%). Este veredicto abarca todo un grupo de malware, conformado por una variedad de troyanos que comparten ciertas capacidades, como: ocultar su ícono, obtener derechos de administrador de dispositivo y usar empaquetadores para evitar la detección.

Los lugares duodécimo y decimocuarto fueron ocupados por representantes de la familia Trojan.AndroidOS.MobOk. Estos troyanos forman parte de la cadena de infección y se vieron con mayor frecuencia en los dispositivos móviles de los usuarios en Rusia.

Como en el trimestre anterior, el troyano bancario Rotexy (1,36%) entró en el TOP 20 de amenazas. Cabe señalar que probablemente este no sea el único troyano bancario propagado, ya que es un malware financiero que suele estar oculto dentro de los droppers Hqwar más populares.

Trojan-Downloader.AndroidOS.Malota.a ocupó el puesto 18 (1,29%). Conocemos este troyano desde octubre de 2019; su principal tarea es descargar códigos ejecutables desde un servidor de administración a un dispositivo infectado.

Geografía de las amenazas móviles

Mapa de intentos de infección de malware móvil, segundo trimestre de 2020 (descargar)

TOP 10 de países por la proporción de usuarios atacados por amenazas móviles

País* %**
1 Irán 43,62
2 Argelia 21,97
3 Bangladesh 19,30
4 Marruecos 17,57
5 Nigeria 15,12
6 India 13,54
7 Arabia Saudita 13,52
8 Kenia 12,61
9 Indonesia 12,17
10 Pakistán 12,16

* Hemos excluido de la clasificación a los países donde el número de usuarios de las soluciones de protección de dispositivos móviles de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos del país que sufrieron ataques, del total de usuarios de las soluciones de protección de Kaspersky para dispositivos móviles en el país.

En el segundo trimestre, los tres primeros países por el porcentaje de usuarios atacados siguen siendo los mismos: Irán lidera la lista (43,62%), seguido de Argelia (21,97%) y Bangladesh (19,30%) en el TOP 3.

En Irán, las aplicaciones de adware más comunes fueron la familia AdWare.AndroidOS.Notifyer, los clientes alternativos del mensajero Telegram (por ejemplo, RiskTool.AndroidOS.FakGram.d está incluido en el TOP 10 de amenazas detectadas en este país) y los troyanos de la familia Trojan.AndroidOS.Hiddapp. Estos últimos tienen una variedad de instrumentos y comparten el deseo de eliminar su icono del administrador de aplicaciones.

En Argelia, repitiendo la situación del anterior trimestre, las aplicaciones de adware más comunes fueron las familias HiddenAd y FakeAdBlocker.

En Bangladesh, también están a la cabeza las aplicaciones de la familia de programas publicitarios HiddenAd, que ocultan la aplicación anfitriona. Además, tuvieron difusión las aplicaciones publicitarias AdWare.AndroidOS.Outad.c (5º) y AdWare.AndroidOS.Loead (6º).

Amenazas web móviles

La estadística que presentamos contiene los veredictos de detección del módulo del antivirus web proporcionados por los usuarios de los productos de Kaspersky que dieron su consentimiento para el envío de datos estadísticos.

Para atraer a las posibles víctimas a páginas maliciosas, los ciberdelincuentes utilizan varias técnicas, desde el SEO negro para que sus sitios entren al TOP 10 de ciertas solicitudes de búsqueda, hasta una cadena de redireccionamientos que redirigirán de forma rápida e imperceptible al usuario desde un sitio legítimo a uno malicioso. Decidimos contar a qué países pertenecen los usuarios móviles que con mayor frecuencia se topan con sitios web maliciosos mientras navegan por la web y dónde se encuentran estos sitios.

Geografía de los países con mayor riesgo de infección a través de recursos web, segundo trimestre de 2020 (descargar)

TOP 10 de países con mayor riesgo de infección

País* % de usuarios atacados
Marruecos 7,08
Argelia 6,25
Ecuador 6,05
Arabia Saudita 5,24
Omán 4,98
India 4,93
Vietnam 4,63
Kuwait 4,47
Emiratos Árabes Unidos 4,27
Brasil 4,25

* En los cálculos hemos excluido a los países en los que la cantidad de usuarios de productos de Kaspersky para dispositivos móviles es relativamente baja (menos de 10 000) .
** Porcentaje de usuarios únicos expuestos a ataques web de todo tipo, del total de usuarios únicos de los productos móviles de Kaspersky en el país.

Países fuentes de amenazas web móviles

Geografía de países fuente de ataques móviles, segundo trimestre de 2020 (descargar)

TOP 10 de países fuente de ataques móviles

País %*
Países Bajos 51,17
Estados Unidos 32,87
Dominica 8,36
Singapur 3,64
Alemania 1,53
Federación de Rusia 1,00
Luxemburgo 0,44
Irlanda 0,32
Francia 0,19
India 0,05

* Proporción de fuentes en un país determinado, del número total de fuentes

Los Países Bajos y los Estados Unidos se convirtieron en los líderes entre los países fuente de amenazas web en el segundo trimestre. Los Países Bajos representan más de la mitad de los casos y, en su mayoría, son recursos web relacionados con la publicidad. Un tipo similar de amenaza provino con mayor frecuencia de los Estados Unidos.

Troyanos bancarios móviles

Durante el período cubierto por el informe, encontramos 38 951 paquetes de instalación de troyanos bancarios móviles, 3 164 menos que en el primer trimestre de 2020.

Número de paquetes de instalación de troyanos bancarios móviles detectados por Kaspersky, segundo trimestre de 2019 segundo trimestre de 2020 (descargar)

La familia Trojan-Banker.AndroidOS.Agent hizo la mayor contribución al número de paquetes detectados, con el 58,7% de todos los troyanos bancarios detectados. Muy por detrás del líder, la familia Trojan-Banker.AndroidOS.Wroba (8,3%) ocupa el segundo lugar, seguida de cerca por Trojan-Banker.AndroidOS.Zitmo (8,2%).

TOP 10 de familias de troyanos bancarios detectadas

Veredicto %*
1 Agent 58,7
2 Wroba 8,3
3 Zitmo 8,2
4 Rotexy 6,5
5 Knobot 4,4
6 Anubis 3,8
7 Faketoken 3,0
8 Cebruser 2,4
9 Asacub 1,0
10 Ginp 0,9

* Proporción de usuarios únicos atacados por la familia de troyanos bancarios móviles, del total de usuarios de las soluciones de seguridad móvil de Kaspersky atacados por amenazas bancarias.

El primer y segundo lugar del TOP 10 lo ocupan troyanos bancarios móviles dirigidos a usuarios móviles de Rusia: Trojan-Banker.AndroidOS.Rotexy.e (13,29%) y Trojan-Banker.AndroidOS.Svpeng.q (9,66%).

TOP 10 de troyanos bancarios móviles

Veredicto %*
1 Trojan-Banker.AndroidOS.Rotexy.e 13,29
2 Trojan-Banker.AndroidOS.Svpeng.q 9,66
3 Trojan-Banker.AndroidOS.Agent.eq 6,48
4 Trojan-Banker.AndroidOS.Asacub.snt 6,45
5 Trojan-Banker.AndroidOS.Asacub.ce 5,59
6 Trojan-Banker.AndroidOS.Anubis.san 5,49
7 Trojan-Banker.AndroidOS.Faketoken.snt 4,34
8 Trojan-Banker.AndroidOS.Anubis.n 3,49
9 Trojan-Banker.AndroidOS.Hqwar.t 3,14
10 Trojan-Banker.AndroidOS.Asacub.a 3,09

* Porcentaje de usuarios únicos atacados por este programa malicioso, del total de los usuarios de las soluciones de protección para dispositivos móviles de Kaspersky que sufrieron ataques de troyanos bancarios móviles.

Diversos miembros de la familia Asacub fueron tres de las diez principales amenazas financieras móviles. Aunque no hay muchas amenazas de esta familia, su popularidad entre los ciberdelincuentes es alta.

En el segundo trimestre, la familia de troyanos bancarios Anubis ganó popularidad, ya que sus representantes ocuparon las posiciones sexta y octava. Creemos que estas versiones del troyano se crearon utilizando el código fuente de Anubis que se filtró en Internet.

Geografía de las amenazas bancarias móviles, segundo trimestre de 2020 (descargar)

TOP 10 de países según el porcentaje de usuarios atacados por troyanos bancarios móviles

País* %**
1 Turquía 1,29%
2 Japón 0,90
3 España 0,71%
4 Italia 0,65%
5 Taiwan 0,49%
6 China 0,19%
7 Tayikistán 0,16%
8 Corea 0,14%
9 Rusia 0,14%
10 Polonia 0,13%

* Hemos excluido de la clasificación a los países donde el número de usuarios de las soluciones de protección de dispositivos móviles de Kaspersky es relativamente pequeño (menos de 10 000).
**Porcentaje en el país de usuarios únicos atacados por los troyanos bancarios móviles, del total de usuarios del antivirus móvil de Kaspersky en el país.

En el segundo trimestre de 2020, Turquía ocupó el primer lugar en términos de porcentaje de usuarios únicos atacados por amenazas financieras móviles (1,29%). Con mayor frecuencia, detectamos representantes de la familia de amenazas financieras Trojan-Banker.AndroidOS.Cebruser en el país.

España ocupó el tercer lugar (0,71%) con el siguiente ranking de amenazas financieras móviles:

Veredicto %
Trojan-Banker.AndroidOS.Ginp.snt 36,60%
Trojan-Banker.AndroidOS.Cebruser.san 25,57%
Trojan-Banker.AndroidOS.Cebruser.pac 22,43%
Trojan-Banker.AndroidOS.Knobot.g 5,19%
Trojan-Banker.AndroidOS.Knobot.pac 4,89%
Trojan-Banker.AndroidOS.Knobot.c 3,73%
Trojan-Banker.AndroidOS.Knobot.h 3,43%
Trojan-Banker.AndroidOS.Agent.eq 2,99%
Trojan-Banker.AndroidOS.Knobot.c 2,63%
Trojan-Banker.AndroidOS.Cebruser.b 2,12%

Ya hemos mencionado a los banqueros móviles Ginp y Cebruser, pero Knobot es un agente relativamente nuevo en el mercado de amenazas dirigidas a los datos financieros. Junto con las ventanas de phishing y la función de interceptar mensajes de autenticación de dos factores, el troyano contiene varios instrumentos que no son típicos de las amenazas financieras, como un mecanismo para interceptar el código PIN de un dispositivo mediante el uso de servicios de accesibilidad (probablemente, los atacantes requerían el código PIN en caso de control manual del dispositivo en tiempo real).

Troyanos extorsionistas móviles

En el segundo trimestre de 2020, encontramos 3805 paquetes de instalación de troyanos ransomware móviles, 534 menos que en el trimestre anterior.

El número de objetos detectados disminuye de un trimestre a otro. Creemos que las dos principales razones son:

  • Mayor dificultad para extorsionar al usuario que para robar directamente el acceso a los datos de la cuenta bancaria. Al mismo tiempo, en ambos casos, es necesario infectar el dispositivo móvil con anticipación, lo que significa que, ante los mismos costos, los ciberdelincuentes suelen elegir la forma más fácil, es decir, el robo.
  • Un troyano ransomware es una amenaza que la víctima probablemente intentará combatir para restaurar la funcionalidad del dispositivo. Y seguramente lo conseguirá, al menos utilizando el procedimiento para volver al firmware de fábrica. Al mismo tiempo, los ciberdelincuentes buscan mantener oculta la presencia de malware en el dispositivo durante el mayor tiempo posible, lo que contradice el principio mismo del ransomware móvil.

Número de paquetes de instalación de troyanos extorsionistas móviles detectados por Kaspersky, segundo trimestre de 2019 – segundo trimestre de 2020 (descargar)

Un patrón similar de disminución se observa en el número de ataques: el número de usuarios atacados con troyanos ransomware se redujo en tres veces en el segundo trimestre de 2020 en comparación con el segundo trimestre de 2019.

Veredicto %*
1 Trojan-Ransom.AndroidOS.Small.as 14,27
2 Trojan-Ransom.AndroidOS.Agent.bq 8.46
3 Trojan-Ransom.AndroidOS.Svpeng.aj 7,67
4 Trojan-Ransom.AndroidOS.Small.o 5-77.
5 Trojan-Ransom.AndroidOS.Rkor.k 5.37
6 Trojan-Ransom.AndroidOS.Agent.bo 5,01
7 Trojan-Ransom.AndroidOS.Congur.e 4,32
8 Trojan-Ransom.AndroidOS.Small.ce 3,65
9 Trojan-Ransom.AndroidOS.Fusob.h 3,42
10 Trojan-Ransom.AndroidOS.Soobek.a 3,01

* Proporción de usuarios únicos atacados por este programa malicioso, del total de los usuarios del antivirus móvil de Kaspersky que sufrieron ataques de troyanos extorsionadores.

Solo dos nuevos troyanos detectados en el segundo trimestre llegaron al TOP 10: Trojan-Ransom.AndroidOS.Agent.bq (8,46%) y Trojan-Ransom.AndroidOS.Agent.bo (5,01%). El resto de los participantes son programas desarrollados en 2017-2019 que los atacantes mantienen a flote haciendo pequeños cambios en el código.

Cabe mencionar que tanto Agent.bq como Agent.bo que, al igual que muchos troyanos de diversas clases, contienen códigos para obtener accesibilidad. Sin embargo, en su caso, este código es necesario para bloquear la pantalla y protegerse contra la eliminación, con el fin de dejar literalmente a la víctima sin posibilidad de deshacerse del troyano sin la ayuda de herramientas de terceros, como ADB. Por cierto, esta utilidad no siempre se puede utilizar para eliminar ransomware: el modo de desarrollador necesario para su funcionamiento está desactivado en la gran mayoría de dispositivos.

Geografía de los troyanos extorsionistas móviles, segundo trimestre de 2020 (descargar)

TOP 10 de países según el porcentaje de usuarios atacados por los troyanos bancarios móviles:

País* %**
1 Kazajistán 0,41
2 Malasia 0,10
3 Estados Unidos 0,10
4 Irán 0,09
5 Indonesia 0,07
6 Arabia Saudita 0,04
7 Vietnam 0,03
8 Italia 0,02
9 Argelia 0,02
10 Rumania 0,02

* Hemos excluido de la clasificación a los países donde el número de usuarios del antivirus para dispositivos móviles de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos que han sido atacados por troyanos extorsionistas móviles en el país, del total de usuarios de las soluciones de seguridad móviles de Kaspersky en el país.

Kazajstán (0,41%), Malasia (0,10%) y Estados Unidos (0,10%) fueron los líderes en términos de número de usuarios atacados por troyanos de ransomware móvil.

Software de acoso

En esta sección, utilizamos las estadísticas recopiladas por la solución de seguridad Kaspersky Mobile Antivirus.

Parece que el último segundo trimestre de 2020 no fue el mejor para los desarrolladores de aplicaciones de acoso. Muchos países donde este tipo de software era popular declararon cuarentena o autoconfinamiento en medio de una pandemia, por lo que los usuarios de software acosador se encontraron bajo el mismo techo durante mucho tiempo junto a aquellos a quienes querían perseguir. Se puede suponer que esto condujo a una disminución en la cantidad de dispositivos móviles en los que encontramos stalkerware. Al mismo tiempo, en el segundo trimestre de 2020, descubrimos diez familias previamente desconocidas de software acosador:

  1. AndroidOS.Andropol.a
  2. AndroidOS.AndTrace.a
  3. AndroidOS.Basmon.a
  4. AndroidOS.Flashlog.a
  5. AndroidOS.Floatspy.a
  6. AndroidOS.FoneSpy.a
  7. AndroidOS.GmSpy.a
  8. AndroidOS.Spytm.a
  9. AndroidOS.UniqSpy.a
  10. AndroidOS.Xnspy.a

Por tanto, no se puede afirmar que los desarrolladores hayan perdido interés en crear este tipo de software. Continuaremos estudiando nuevas muestras, ya que en el segundo trimestre ninguna de las familias listadas logró ganar suficiente popularidad para ingresar al TOP 20.

TOP 20 de software de acoso

Veredicto %
1 Monitor.AndroidOS.Cerberus.a 14,21%
2 Monitor.AndroidOS.Nidb.a 13,66%
3 Monitor.AndroidOS.MobileTracker.c 5,56%
4 Monitor.AndroidOS.Agent.af 5,07%
5 Monitor.AndroidOS.Anlost.a 4,20%
6 Monitor.AndroidOS.PhoneSpy.b 3,39%
7 Monitor.AndroidOS.Agent.a 2,56%
8 Monitor.AndroidOS.Agent.hb 2,37%
9 Monitor.AndroidOS.SecretCam.a 2,27%
10 Monitor.AndroidOS.Traca.a 2,25%
11 Monitor.AndroidOS.Alltracker.a 2,22%
12 Monitor.AndroidOS.Agent.al 2,15%
13 Monitor.AndroidOS.SpyHuman.c 2,10%
14 Monitor.AndroidOS.Wspy.a 1,91%
15 Monitor.AndroidOS.Agent.gt 1,73%
16 Monitor.AndroidOS.MonitorMinor.e 1,62
17 Monitor.AndroidOS.Reptilic.a 1,49%
18 Monitor.AndroidOS.Agent.he 1,43%
19 Monitor.AndroidOS.Anfur.a 1,39%
20 Monitor.AndroidOS.Talkw.a 1,25%

El TOP 20 incluye familias de espías comerciales bien establecidas en el mercado durante mucho tiempo. En particular, MonitorMinor, sobre el que escribimos en el primer trimestre de este año.

Geografía de la distribución de stalkerware, segundo trimestre de 2020 (descargar)

En el segundo trimestre, Rusia se convirtió en el líder entre los países por el número de usuarios en cuyos dispositivos se detectó stalkerware, seguido muy de cerca por Brasil. El tercer puesto lo ocupa India, país donde los usuarios se toparon con software acosador con la mitad de la frecuencia que en Rusia.

Vale decir que en Rusia y Brasil este año observamos una tendencia positiva en la cantidad de dispositivos con stalkerware, ya que en el segundo trimestre hubo muchos menos casos.

Número de dispositivos con stalkerware en Rusia, primer trimestre de 2019 segundo trimestre de 2020 (descargar)

Número de dispositivos con software de acoso en Brasil, primer trimestre de 2019 – segundo trimestre de 2020 (descargar)

India mostró un panorama relativamente estable en el segundo trimestre.

Número de dispositivos con stalkerware en India, primer trimestre de 2019 – segundo trimestre de 2020 (descargar)

Desarrollo de las amenazas informáticas en el segundo trimestre de 2020. Estadísticas del malware para dispositivos móviles

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada