Informes sobre malware

Evolución de las amenazas informáticas en el tercer trimestre de 2023. Estadísticas de dispositivos móviles

El presente documento contiene los veredictos de detección emitidos por los productos de Kaspersky a partir de los datos estadísticos que los mismos usuarios aceptaron proporcionar.

Cifras del trimestre

Según Kaspersky Security Network, en el tercer trimestre de 2023:

  • Se neutralizaron 8 346 169 ataques con software móvil malicioso, adware o no deseado.
  • La amenaza más común para los dispositivos móviles fue el software publicitario (adware), que representó el 52% de todas las amenazas detectadas.
  • Se detectaron 438 962 paquetes de instalación maliciosos, de los cuales
    • 21 674 paquetes eran troyanos bancarios móviles;
    • 1 855 paquetes eran troyanos ransomware móviles.

Particularidades del trimestre

El número de ataques con malware, adware o software no deseado contra dispositivos móviles continuó aumentando en el tercer trimestre. En total, los productos de Kaspersky neutralizaron más de 8,3 millones de ataques.

Número de ataques contra los usuarios de las soluciones móviles de Kaspersky, primer trimestre de 2022 – tercer trimestre de 2023 (descargar)

Este trimestre, encontramos una aplicación maliciosa en la tienda Google Play que recibió el veredicto de Trojan-Downloader.AndroidOS.Banker.aj.

Esta aplicación se disfrazaba de un visor de archivos PDF, pero en realidad descargaba el troyano bancario Trojan-Banker.AndroidOS.Coper.a. en el dispositivo.

Otro hallazgo que hicimos en Google Play fue una modificación espía del mensajero Telegram capaz de robar los mensajes del usuario.

También en el tercer trimestre, los atacantes comenzaron a usar con mayor frecuencia un cliente de acceso remoto modificado para robar fondos, disfrazado como una aplicación de atención al cliente de un banco. Durante el período cubierto por el informe, se evitaron más de 3 mil ataques que utilizaban tales aplicaciones.

El otro hallazgo del trimestre es el spyware Trojan – Spy.AndroidOS.Agent.afd. El malware atrajo nuestra atención por su enfoque poco convencional de desarrollo: casi todo el malware para Android se escribe en Java, a veces en C/C++, pero los desarrolladores de este malware decidieron utilizar el marco .NET. Este marco multiplataforma es muy popular en el sistema operativo Windows, pero rara vez se usa para escribir malware para Android.

Estadísticas sobre amenazas móviles

El número de nuevas muestras de programas maliciosos sigue creciendo y vuelve a situarse al nivel del tercer trimestre del año pasado.

Número de paquetes de instalación maliciosos detectados, tercer trimestre de 2022 – tercer trimestre de 2023 (descargar)

Distribución por tipo de los programas móviles detectados*

Distribución por tipo de nuevos programas móviles detectables, segundo trimestre de 2023 y tercer trimestre 2023 (descargar)

*Los datos del trimestre anterior pueden diferir ligeramente de los ya publicados debido a la revisión retrospectiva de algunos veredictos.

El adware y el software potencialmente no deseado (riskware) suelen turnarse para encabezar la clasificación. Entre el adware, la familia MobiDash vuelve a encabezar la lista, al haber aumentado su cuota relativa hasta el 55%. Le siguen los veredictos generalizados de varios adware como Dnotua (10,8%) y HiddenAd (4,3%).

Porcentaje de usuarios que se enfrentaron algún tipo de amenaza del total de usuarios de productos móviles atacados, segundo trimestre de 2023 y tercer trimestre de 2023 (descargar)

Amenazas como RiskTool (6,83%) descendieron una posición en el ranking del porcentaje de usuarios atacados, cediendo su lugar al malware troyano (24,66%), mientras que el adware (63,66%) sigue ocupando el primer puesto. Entre los troyanos, los ya descritos GriftHorse y Fakemoney mantienen una elevada actividad, pero el troyano publicitario Triada (23,5%) en los mods de WhatsApp encabeza la lista este trimestre.

TOP 20 de programas maliciosos móviles

La siguiente clasificación de software malicioso no incluye programas potencialmente peligrosos o no deseados, como RiskTool y Adware.

Veredicto %* segundo trimestre de 2023 %* tercer trimestre de 2023 Diferencia en p.p. Cambio de posición
1 DangerousObject.Multi.Generic 16,79 14,98 -1,81 0
2 Trojan.AndroidOS.Triada.et 0,52 12,16 +11,64 +39
3 Trojan.AndroidOS.GriftHorse.l 8,38 10,89 +2,51 0
4 Trojan.AndroidOS.Fakemoney.v 5,34 9,67 +4,33 +2
5 Trojan.AndroidOS.Boogr.gsh 10,05 7,05 -3,00 -3
6 Trojan-Dropper.AndroidOS.Badpack.g 2,96 4,67 +1,71 +3
7 Trojan.AndroidOS.Generic 6,56 3,94 -2,62 -3
8 Trojan-Dropper.AndroidOS.Agent.uc 0,00 3,39 +3,39
9 Trojan-Dropper.AndroidOS.Hqwar.bk 2,17 3,01 +0,84 +2
10 Trojan.AndroidOS.Triada.ex 0,00 2,97 +2,97
11 Trojan.AndroidOS.Fakeapp.ft 0,00 2,93 +2,93
12 DangerousObject.AndroidOS.GenericML 3,14 2,03 -1,11 -4
13 Trojan.AndroidOS.Piom.aypd 0,00 1,64 +1,64
14 Trojan-Spy.AndroidOS.Agent.acq 6,10 1,36 -4,74 -9
15 Trojan.AndroidOS.Fakemoney.x 2,02 1,31 -0,71 -3
16 Trojan-Banker.AndroidOS.Agent.eq 0,73 1,27 +0,54 +11
17 Trojan.AndroidOS.GriftHorse.al 0,00 1,07 +1,07
18 Trojan.AndroidOS.GriftHorse.ah 1,54 1,07 -0,48 +2
19 Trojan-Downloader.AndroidOS.Agent.mh 1,72 1,00 -0,73 -5
20 Trojan-Dropper.AndroidOS.Agent.ub 0,00 0,89 +0,89

* Porcentaje de usuarios únicos atacados por este malware, del total de usuarios atacados que utilizan las soluciones móviles de Kaspersky.

El veredicto de nube generalizado DangerousObject.Multi.Generic (14,98%) mantuvo el primer puesto en el tercer trimestre. En el segundo tenemos la modificación maliciosa de WhatsApp con el veredicto Trojan.AndroidOS.Triada.et (12,16%), seguida de GriftHorse y Fakemoney, que han entrado en el TOP 20 durante varios trimestres consecutivos. Dentro del veredicto colectivo de las tecnologías de aprendizaje automático Trojan.AndroidOS.Boogr.gsh (7,05%) se ubicó AndroidOS.Badpack.g (4,67%), un envasador que se suele utilizar para la entrega de malware bancario.

Malware regional

En esta sección describiremos los programas maliciosos para móviles dirigidos principalmente a residentes de determinados países.

Veredicto País* %**
Trojan-Banker.AndroidOS.GodFather.i Turquía 100,00
Trojan-Banker.AndroidOS.BRats.b Brasil 99,59
Trojan-Banker.AndroidOS.Agent.la Turquía 98,65
Trojan-Banker.AndroidOS.GodFather.h Turquía 98,62
Trojan.AndroidOS.Piom.axdh Turquía 98,42
Trojan-Banker.AndroidOS.GodFather.m Turquía 98,30
Trojan-Banker.AndroidOS.Agent.lc Indonesia 98,21
Trojan-Spy.AndroidOS.SmsThief.vb Indonesia 97,95
Trojan-Spy.AndroidOS.SmsEye.b Indonesia 97,65
Trojan-Banker.AndroidOS.Agent.lw Azerbaiyán 96,98
Trojan-Spy.AndroidOS.SmsThief.tt Irán 96,70
Trojan-Spy.AndroidOS.SmsThief.tw Indonesia 96,57
Trojan-Dropper.AndroidOS.Hqwar.hc Turquía 94,76
Trojan-Spy.AndroidOS.SmsThief.de Indonesia 94,23
Trojan.AndroidOS.Hiddapp.bn Irán 94,00
Trojan-Dropper.AndroidOS.Agent.sm Turquía 88,15
Trojan-Spy.AndroidOS.FakeApp.an Turquía 82,71

* El país con mayor actividad de malware.
** Proporción de usuarios únicos atacados por este malware en el país especificado, del total usuarios de soluciones móviles de Kaspersky atacados por el mismo malware.

Si hablamos de ataques centrados en un país en particular, en el tercer trimestre la mayoría de estos ataques apuntaron a los habitantes de Turquía. Entre las amenazas para ellos predominaban los troyanos bancarios. Aquí se encontraba Trojan-Banker.AndroidOS.GodFather, que permite a un atacante acceder de forma remota al dispositivo, y Trojan-Banker.AndroidOS.Agent.la, que roba mensajes SMS. Los empaquetadoresTrojan-Dropper.AndroidOS.Agent.sm y Trojan-Dropper.AndroidOS.Hqwar.hc también se utilizaron para “entregar” banqueros al usuario.

Los usuarios de Brasil siguen siendo el centro de los ataques del troyano bancario Brats, mientras que en Indonesia se buscan nuevas víctimas con diversas modificaciones de programas espía que usan SMS. También es interesante notar cierta concentración, aunque no absoluta, del malware Trojan.AndroidOS.Thamera.u en la India. Este troyano se utiliza para convertir el dispositivo en un proxy para registrar cuentas en redes sociales.

Troyanos bancarios móviles

En el tercer trimestre de 2023, el número de nuevos paquetes de instalación de troyanos bancarios cayó de golpe a 21 mil.

Número de paquetes de instalación de troyanos bancarios móviles detectados por Kaspersky, tercer trimestre de 2022 — tercer trimestre de 2023 (descargar)

TOP 10 de troyanos bancarios móviles

Veredicto %* segundo trimestre de 2023 %* tercer trimestre de 2023 Diferencia en p.p. Cambio de posición
1 Trojan-Banker.AndroidOS.Agent.eq 13,05 28,95 +15,90 +1
2 Trojan-Banker.AndroidOS.Bian.h 29,33 18,23 -11,10 -1
3 Trojan-Banker.AndroidOS.Agent.ma 0,00 5,68 +5,68 -3
4 Trojan-Banker.AndroidOS.Agent.cf 11,45 5,15 -6,29 -1
5 Trojan-Banker.AndroidOS.Agent.la 1,39 4,58 +3,19 +7
6 Trojan-Banker.AndroidOS.Anubis.ab 0,00 2,42 +2,42
7 Trojan-Banker.AndroidOS.Faketoken.pac 8,49 2,40 -6,09 -3
8 Trojan-Banker.AndroidOS.Svpeng.q 2,40 2,06 -0,34 -1
9 Trojan-Banker.AndroidOS.GodFather.i 0,00 1,55 +1,55
10 Trojan-Banker.AndroidOS.GodFather.h 0,00 1,50 +1,50

* Porcentaje de usuarios únicos que se han enfrentado a este malware, del total de usuarios de las soluciones de seguridad móvil de Kaspersky atacados por amenazas bancarias.

A pesar de la caída en el número de paquetes de instalación únicos, el número total de ataques de malware como Trojan-Banker aumentó ligeramente. En otras palabras, es más probable que los mismos archivos se reutilicen para perpetrar ataques contra otros usuarios.

Troyanos móviles extorsionadores

En el tercer trimestre, el número de nuevos paquetes de instalación de ransomware no tuvo grandes cambios en comparación con el trimestre anterior.

Número de paquetes de instalación de troyanos ransomware móviles detectados por Kaspersky, tercer trimestre de 2022 — tercer trimestre de 2023 (descargar)

TOP 10 de ransomware para dispositivos móviles

Veredicto %* segundo trimestre de 2023 %* tercer trimestre de 2023 Diferencia en p.p. Cambio de posición
1 Trojan-Ransom.AndroidOS.Rasket.a 5,60 32,44 +26,84 +1
2 Trojan-Ransom.AndroidOS.Pigetrl.a 47,55 25,27 -22,27 -1
3 Trojan-Ransom.AndroidOS.Rkor.eg 0,35 10,56 +10,21 +59
4 Trojan-Ransom.AndroidOS.Rkor.ef 1,04 6,77 +5,73 +18
5 Trojan-Ransom.AndroidOS.Rkor.eh 0,00 1,61 +1,61
6 Trojan-Ransom.AndroidOS.Congur.cw 2,73 1,56 -1,17 0
7 Trojan-Ransom.AndroidOS.Small.as 3,02 1,51 -1,52 -3
8 Trojan-Ransom.AndroidOS.Congur.y 4,56 1,40 -3,16 -5
9 Trojan-Ransom.AndroidOS.Small.cj 0,94 1,32 +0,38 +16
10 Trojan-Ransom.AndroidOS.Agent.bw 1,44 1,27 -0,17 +4

Porcentaje de usuarios únicos atacados por este malware, del total de usuarios que utilizan las soluciones móviles de Kaspersky y fueron atacados por ransomware.

El troyano Rasket.a (32,44%) irrumpió en el primer puesto del ranking del número de ataques, entre otros programas maliciosos del mismo tipo. El resto de los puestos de la lista están ocupados, como casi siempre, por varias modificaciones Pigetrl, Rkor, Congur y Small.

Evolución de las amenazas informáticas en el tercer trimestre de 2023. Estadísticas de dispositivos móviles

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada