Informes sobre malware

Evolución de las amenazas informáticas en el segundo trimestre de 2024. Estadísticas de amenazas móviles

Cifras del trimestre

Según Kaspersky Security Network, en el segundo trimestre de 2024:

  • Se repelieron 7,7 millones de ataques con malware, adware o software móvil no deseado.
  • La amenaza más común para los dispositivos móviles fue el software no deseado de la clase RiskTool, con el 41% de todas las amenazas detectadas.
  • Se detectaron 367 418 paquetes de instalación maliciosos, de los cuales:
    • 13 013 pertenecían a troyanos bancarios móviles;
    • 1392 eran troyanos extorsionadores móviles.

Particularidades del trimestre

El número de ataques con malware, adware o software no deseado contra dispositivos móviles aumentó en comparación con el mismo período del año pasado, pero disminuyó en comparación con el primer trimestre de este año: se detectaron 7 697 975 ataques.

Número de ataques contra usuarios de soluciones móviles de Kaspersky Lab, cuarto trimestre de 2022 – segundo trimestre de 2024 (descargar)

La disminución se debe a una súbita caída de la actividad de las aplicaciones de publicidad, sobre todo de diversos programas ocultos de la familia AdWare.AndroidOS.HiddenAd que se dedican a abrir anuncios.

En abril de este año se descubrieron nuevas versiones del espía Mandrake. Estas aplicaciones se distribuyeron a través de Google Play y utilizaban técnicas avanzadas para ocultar la funcionalidad maliciosa: escondían el código peligroso en una biblioteca nativa ofuscada, aplicando técnicas de fijación de certificados para detectar intentos de rastrear el tráfico de red de las aplicaciones y aplicaban un gran conjunto de técnicas de verificación de ejecución en un entorno emulado, como sandboxes.

Una de las aplicaciones de Mandrake en Google Play

Una de las aplicaciones de Mandrake en Google Play

También en el segundo trimestre, se descubrió el troyano bancario IOBot dirigido a usuarios en Corea. Para instalar el componente adicional del malware con funcionalidad de puerta trasera VNC, los autores de este troyano utilizan la técnica de eludir la protección que Android posee contra la emisión de derechos extendidos a aplicaciones descargadas de fuentes no oficiales.

Estadísticas de amenazas móviles

El número de muestras de malware para Android disminuyó en comparación con el trimestre anterior y alcanzó el nivel del mismo período en 2023, con un total de 367 418 paquetes de instalación.

Número de paquetes de instalación maliciosos detectados, segundo trimestre de 2023 – segundo trimestre de 2024 (descargar)

Se observan nuevas tendencias en la distribución de los paquetes detectables de Adware y RiskTool: el número de los primeros disminuyó y el segundo aumentó, ambos de forma notable. Por lo demás, el número de detecciones se mantiene más o menos en el mismo nivel.

Distribución de programas móviles detectables por tipo, primer trimestre * – segundo trimestre de 2024 (descargar)

*Los datos del trimestre anterior pueden presentar una ligera diferencia respecto a los publicados anteriormente debido a la revisión retrospectiva de algunos veredictos.

En la categoría Adware, el número de aplicaciones publicitarias HiddenAd, BrowserAd y Adlo disminuyó drásticamente, mientras que aumentó el número de aplicaciones RiskTool.AndroidOS.Fakapp, que se propagan bajo la apariencia de material pornográfico. Estas aplicaciones recopilan y envían información del dispositivo al servidor, para después abrir URL arbitrarias que vienen en las respuestas.

Porcentaje* de usuarios atacados por un determinado tipo de malware o software no deseado, del total de usuarios de productos móviles de Kaspersky atacados, primer trimestre* – segundo trimestre de 2024 (descargar)

*El total puede exceder el 100% si los mismos usuarios se enfrentan a varios tipos de ataques.

A pesar del notable número de paquetes de instalación de RiskTool.AndroidOS.Fakapp, el número de usuarios reales que se toparon con esta familia no mostró un crecimiento notable. En otras palabras, los atacantes lanzaron muchas muestras únicas, pero su propagación fue limitada.

Los principales cambios en la distribución de la proporción de usuarios atacados se deben a la disminución de la actividad del adware HiddenAd y al aumento de la actividad de las aplicaciones de la clase RiskTool: Revpn y SpyLoan.

TOP 20 de malware móvil

La siguiente clasificación de software malicioso no incluye programas potencialmente peligrosos o no deseados, como RiskTool y Adware.

Veredicto Anterior % Nuevo % Diferencia en p.p. Cambio de posición
DangerousObject.Multi.Generic 9,82 11,44 +1,61 +1
DangerousObject.AndroidOS.GenericML 3,83 7,56 +3,72 +6
Trojan.AndroidOS.Triada.ga 5,66 6.66 +1,00 +2
Trojan.AndroidOS.Fakemoney.v 8,60 6,60 -2,00 -1
Trojan.AndroidOS.Boogr.gsh 6,62 6,01 -0,61 -1
Trojan.AndroidOS.Triada.fd 10,38 5,89 -4,49 -5
Trojan.AndroidOS.Triada.gm 0.00 5,16 +5,16
Trojan-Downloader.AndroidOS.Dwphon.a 5,26 2,71 -2,55 -2
Trojan.AndroidOS.Generic 2,08 2,59 +0,51 +5
Trojan.AndroidOS.Triada.gn 0,00 2,23 +2,23
Trojan-Spy.AndroidOS.SpyNote.bz 3,52 1,97 -1,55 -2
Trojan-Dropper.AndroidOS.Agent.sm 2,09 1,75 -0,34 +1
Trojan.AndroidOS.Triada.gb 1,34 1,72 +0,37 +11
Trojan.AndroidOS.Fakemoney.bj 4,26 1,47 -2,79 -7
Trojan-Dropper.AndroidOS.Badpack.g 1,87 1,40 -0,47 +1
Trojan.AndroidOS.Triada.ex 2,42 1,37 -1,05 -5
Trojan-Banker.AndroidOS.Mamont.aq 0,00 1,36 +1,36
Trojan-Downloader.AndroidOS.Agent.ms 1,39 1,34 -0,05 +5
Trojan.AndroidOS.Triada.gh 0,00 1,31 +1,31
Trojan-Downloader.AndroidOS.Agent.mm 2,12 1,29 -0,83 -8

El veredicto de nube generalizado DangerousObject.Multi.Generic regresó a la cima, y también subió el veredicto de tecnologías IA de nube de DangerousObject.AndroidOS.GenericML. Volvieron a la cima de la clasificación el troyano Fakemoney, que con el pretexto de obtener ganancias fáciles recopila datos personales, el troyano Dwphon preinstalado, y las versiones modificadas de WhatsApp con módulos Triada integrados. Con éstos últimos también está relacionado Trojan-Downloader.AndroidOS.Agent.ms.

El troyano bancario Mamont, que utiliza el acceso a SMS para robar dinero, ha ganado una notable popularidad.

Malware regional

En esta sección, describimos el malware que concentra su actividad en determinados países.

Veredicto País* %**
Backdoor.AndroidOS.Tambir.a Turquía 99,51
Trojan-Banker.AndroidOS.BrowBot.q Turquía 99,30
Trojan-Banker.AndroidOS.BrowBot.a Turquía 98,88
Backdoor.AndroidOS.Tambir.d Turquía 98,24
Trojan-Banker.AndroidOS.Rewardsteal.dn India 98,18
Trojan-Banker.AndroidOS.UdangaSteal.k India 97,44
HackTool.AndroidOS.FakePay.c Brasil 97,43
Trojan-Banker.AndroidOS.Rewardsteal.c India 97,03
Trojan-Banker.AndroidOS.Agent.ox India 96,97
Trojan-Spy.AndroidOS.SmsThief.wk India 96,92
Trojan-Banker.AndroidOS.Rewardsteal.n India 96,74
Trojan-Banker.AndroidOS.UdangaSteal.f Indonesia 96,40
Backdoor.AndroidOS.Tambir.b Turquía 96,20
Trojan-Dropper.AndroidOS.Hqwar.hc Turquía 96,19
Trojan-Banker.AndroidOS.Agent.pp India 95,97
Trojan-Banker.AndroidOS.UdangaSteal.b Indonesia 95,23
Trojan-Dropper.AndroidOS.Agent.sm Turquía 95,11
Trojan-SMS.AndroidOS.EvilInst.f Tailandia 95,05
Trojan-SMS.AndroidOS.EvilInst.b Tailandia 94,64
Trojan-Spy.AndroidOS.SmsThief.vb Indonesia 94,57
Trojan-Banker.AndroidOS.Coper.b Turquía 94,31

* El país con mayor actividad de programas maliciosos.
** Porcentaje de usuarios únicos que se enfrentaron con una modificación concreta del troyano en el país indicado, del total de usuarios de las soluciones móviles de Kaspersky atacados por el mismo malware.

Los usuarios en Turquía continúan enfrentando ataques de troyanos bancarios. Al mismo tiempo, la lista de malware que operan en el país no ha cambiado: la puerta trasera VNC Tambir, el troyano BrowBot, que se dedica a robar SMS y los empacadores de troyanos bancarios Hqwar ya se han mencionado en informes anteriores.

En Indonesia sigue teniendo lugar lugar la mayor concentración de troyanos UdangaSteal que roban SMS. A menudo se los envían a las víctimas bajo el disfraz de invitaciones de boda. También, de forma similar al trimestre pasado, la proliferación de aplicaciones FakePay, que simulan hacer pagos, es notable en Brasil, mientras que en Tailandia, los usuarios se enfrentan al troyano EvilInst que envía SMS de pago.

Ingresaron al TOP un gran número de familias concentradas en la India. Por ejemplo, Rewardsteal bajo el pretexto de repartir dinero roba datos bancarios, SmsThief.wk y Agent.ox robar SMS.

Troyanos bancarios móviles

El número de nuevos paquetes de instalación únicos de troyanos bancarios continúa en el mismo nivel por tercer trimestre consecutivo.

Número de paquetes de instalación de troyanos bancarios móviles detectados por Kaspersky Lab, segundo trimestre de 2023 – segundo trimestre de 2024 (descargar)

El número total de ataques de Trojan-Banker sigue creciendo, es decir, cada nuevo troyano bancario lanzado por los atacantes se utiliza cada vez más activamente en los ataques.

TOP 10 de troyanos bancarios móviles

Veredicto Anterior % Nuevo % Diferencia en p.p. Cambio de posición
Trojan-Banker.AndroidOS.Mamont.aq 0,00 14,13 +14,13
Trojan-Banker.AndroidOS.UdangaSteal.b 7,00 10,10 +3,10 +3
Trojan-Banker.AndroidOS.Bian.h 10,21 7,46 -2,76 0
Trojan-Banker.AndroidOS.GodFather.m 0,97 6,41 +5,44 +20
Trojan-Banker.AndroidOS.Faketoken.z 1,39 5,17 +3,79 +14
Trojan-Banker.AndroidOS.Mamont.am 0,00 5,12 +5,12
Trojan-Banker.AndroidOS.Mamont.o 4,58 5,00 +0,42 -1
Trojan-Banker.AndroidOS.Agent.pp 0,00 4,59 +4,59
Trojan-Banker.AndroidOS.Agent.eq 13,39 4,51 -8,88 -8
Trojan-Banker.AndroidOS.Svpeng.aj 0,95 3,74 +2,79 +15

Troyanos ransomware móvil

El número de paquetes de instalación de ransomware ha disminuido respecto al primer trimestre de 2024 y se encuentra aproximadamente en el mismo nivel que hace un año.

Número de paquetes de instalación de troyanos ransomware móviles detectados por Kaspersky, segundo trimestre de 2023 – segundo trimestre de 2024 (descargar)

En la distribución de los ataques, los ransomware Rasket y Rkor abandonaron el TOP, mientras que Pigetrl bajó. El resto de las familias en la parte superior al mismo tiempo aumentó significativamente su actividad, no sólo en porcentaje, sino también en cifras absolutas.

Veredicto Anterior % Nuevo % Diferencia en p.p. Cambio de posición
Trojan-Ransom.AndroidOS.Svpeng.ac 11,17 52,56 +41,39 +3
Trojan-Ransom.AndroidOS.Congur.cw 10,96 52,41 +41,45 +3
Trojan-Ransom.AndroidOS.Small.cj 10,49 49,76 +39,26 +3
Trojan-Ransom.AndroidOS.Congur.ap 6,66 41,52 +34,86 +3
Trojan-Ransom.AndroidOS.Svpeng.ah 6,03 35,62 +29,59 +4
Trojan-Ransom.AndroidOS.Congur.bf 4,15 32,98 +28,83 +5
Trojan-Ransom.AndroidOS.Svpeng.snt 5,72 25,72 +20,00 +3
Trojan-Ransom.AndroidOS.Svpeng.ad 3,42 24,79 +21,37 +4
Trojan-Ransom.AndroidOS.Svpeng.ab 3,32 24,60 +21,28 +5
Trojan-Ransom.AndroidOS.Pigetrl.a 15,56 12,70 -2,86 -8

Evolución de las amenazas informáticas en el segundo trimestre de 2024. Estadísticas de amenazas móviles

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada