- Desarrollo de los programas maliciosos en 2006
- Programas nocivos para UNIX y similaresì
- Virus para dispositivos móviles
- Ataques Internet: 2006
- El correo no solicitado en el año 2006
Resumen del año
En el campo de la virología móvil, en 2006 sucedieron varios acontecimientos que con toda probabilidad, han determinado su desarrollo en los próximos años.
- Se han creado troyanos comerciales para Symbian.
- Los malhechores han aprendido a robar dinero de las cuentas de los usuarios de los teléfonos móviles.
- Por vez primera, los objetos de contagio son los teléfonos móviles comunes, y no los teléfonos inteligentes.
Cambios estadísticos en el 2006
En otoño de 2005 nuestros expertos pronosticaron un flujo constante de virus semejantes a los ya conocidos, que rara vez tendrían pequeñas “incrustaciones” de nuevas tecnologías. Un estímulo adicional para los creadores de virus sería el lucro relacionado, por ejemplo, con el extenso uso de teléfonos celulares para las operaciones con los sistemas de pagos electrónicos. Pero no se pronosticaron epidemias globales de virus para dispositivos móviles por aproximadamente dos años.
Desde el punto de vista estadístico, en el año 2006 los virus móviles tuvieron los siguientes índices (según la clasificación de Kaspersky Lab):
- Cantidad de familias de virus móviles conocidas: 22 familias
- Cantidad de variantes y modificaciones conocidas en estas familias: 106 variantes
- Cantidad de plataformas o sistemas operativos atacados: 2 (Symbian y WinCE)
El inicio de 2006 estuvo marcado por un significante crecimiento de la cantidad de programas maliciosos para dispositivos móviles. Solo en el periodo de febrero a abril aparecieron 43 variantes de diferentes virus móviles. En el momento pico de sus actividades los autores de virus “suministraban” a las compañías antivirus unas 10 variantes por semana, siendo los asiáticos los autores más prolíficos. En general, sus virus se caracterizaron por la diversidad de las plataformas atacadas y las tendencias de expansión en el campo de las tecnologías móviles, terreno aún poco estudiado.
Parecía que el ritmo tomado iba a prolongarse por bastante tiempo, lo que habría amenazado con convertir la creación de virus móviles en un proceso ininterrumpido, similar al de algunos virus para ordenadores. Pero en el segundo semestre de 2006 el crecimiento de la cantidad de nuevos virus casi se detuvo, tanto de las familias conocidas, como las de las nuevas.
Hasta fines de 2006 esta tendencia de baja continuó, llegando a ser de 2-7 nuevas variantes de las antiguas familias por mes. Al mismo tiempo, se redujo notablemente la cantidad de autores activos de virus móviles. De hecho, en el presente, 1 o 2 personas crean la mayor parte de los virus móviles en todo el mundo, y sus criaturas no se caracterizan por ser de alta tecnología sino que pertenecen a la clase de los primitivos Troyans-Overwriters.
Crecimiento de la cantidad de variantes de virus móviles en el año 2006
Datos estadísticos de finales de 2006:
- Cantidad de familias de virus móviles conocidas: 35 (+13) , crecimiento – 37%
- Cantidad de variantes y modificaciones conocidas: 186 (+80), crecimiento – 45%
- Plataformas o sistemas operativos conocidos: 4 (+2, J2ME y MSIL)
Nuevas tecnologías
Robo de información
Llegó la época cuando se empezaron a crear troyanos-espía comerciales para Symbian. En abril se descubrió el primer espía con todas las funciones necesarias, que sus creadores vendían en su sitio web por 50 dólares americanos: Flexispy establece un control total sobre el teléfono inteligente y envía al delincuente la información sobre las llamadas hechas y los mensajes de texto enviados. Septiembre de 2006 trajo consigo otro virus similar para esta plataforma, un espía llamado Acallno, que enviaba a un número determinado todos los mensajes de texto recibidos y enviados por el teléfono infectado.
Robo de dinero
Los creadores de virus mostraron sólo uno de los métodos de robar dinero a los usuarios. Esta tecnología la “desarrollaron” hackers rusos desconocidos, que en dos ocasiones (en febrero y septiembre) usaron la función llamada “números premium”, es decir, de pago y caros. En febrero difundieron el troyano RedBrowser, que se hacía pasar por una utilidad de acceso a Internet vía SMS, pero que en realidad enviaba mensajes de texto a diferentes números “premium”. Como resultado, por cada mensaje enviado, se le cobraba cerca de 5 dólares americanos al usuario. El siguiente troyano parecido era Wesber, detectado en septiembre del 2006.
Modos de difusión
Antes, los virus móviles usaban medios de propagación propios, diferentes a los de los que utilizaban los ordenadores. Nos referimos a Bluetooth y MMS. Pero las funciones de la plataforma .NET, incluidas en WinCE, les permitieron usar una vía tradicional: el correo electrónico. El gusano Letum se comporta de la misma manera que miles de gusanos postales comunes y corrientes: al penetrar al teléfono, envía copias de sí mismo a todas las direcciones de correo electrónico de la libreta de direcciones. Además, Letum puede considerarse un virus multiplataforma, ya que también puede funcionar en los ordenadores con .NET.
Virus multiplataforma
El virus Cxover puede considerarse el primer programa malicioso multiplataforma para dispositivos móviles. Al iniciarse su ejecución, detecta el tipo de sistema operativo, y si resulta que está en un ordenador personal, busca dispositivos móviles disponibles mediante ActiveSync. Luego, el virus se copia a sí mismo vía ActiveSync al dispositivo encontrado. Al encontrarse en un teléfono o PDA, el virus trata entonces de usar el proceso inverso: copiarse a un ordenador personal. Además, puede eliminar los ficheros personales del usuario en el dispositivo móvil.
El gusano Mobler actúa de una forma levemente diferente. Al ser ejecutado en un ordenador personal (Win32), crea un fichero sis en el disco E:. Este fichero contiene varios ficheros vacíos, que el virus guarda en lugar de los ficheros de aplicaciones del sistema. El fichero también contiene el virus Win32 en sí, que se copia a la tarjeta de memoria del teléfono y un fichero autorun.inf.
Si un ordenador se conecta al teléfono infectado y trata de usar la tarjeta de memoria del teléfono, el virus se autoinicia e infecta el ordenador.
Este es un ejemplo de virus multiplataforma que es capaz de funcionar en sistemas operativos muy diferentes, como lo son Windows y Symbian.
Nuevas plataformas
Hasta 2006, de todas las plataforma móviles, las dos plataformas de teléfonos inteligentes principales eran las más atacadas, Symbian y WinCE. La aparición del troyano RedBrowser en febrero de 2006 se convirtió en una sorpresa desagradable. Por primera vez lo teléfonos celulares comunes y corrientes (no inteligentes) que usan la plataforma J2ME se convirtieron en blanco de los virus.
La infección de prácticamente cualquier teléfono, algo que hace poco se consideraba imposible, se convirtió en realidad. El sólo hecho de que aparezcan programas maliciosos para J2ME es un suceso tan serio como la aparición del primer gusano para teléfonos inteligentes en junio del 2004. Por el momento es difícil hacer una apreciación de todas las amenazas potenciales, pero el hecho de que la cantidad de teléfonos celulares es mucho mayor que la de teléfonos inteligentes y que los primeros ya han sido infectados por los delincuentes nos obliga empezar las investigaciones en el campo de la protección antivirus de este tipo de dispositivos.
En primavera también se detecto una “puerta trasera” conceptual para los dispositivos BlackBerry, pero como estaba escrita en el idioma Java, no podemos considerarla como un virus para una nueva plataforma.
De las 13 nuevas familias descubiertas por Kaspersky Lab en 2006, 7 contenían novedades tecnológicas, entre ellas dos para nuevas plataformas.
Innovación | Familia | Fecha de detección | Sistema operativo | Funciones |
+ | Trojan-SMS.J2ME.RedBrowser | Febrero de 2006 | J2ME | Envío de SMS |
+ | Worm.MSIL.Cxover | Marzo de 2006 | Windows Mobile / .NET | Eliminación de ficheros, copia de su cuerpo a otros dispositivos |
– | Worm.SymbOS.StealWar | Marzo de 2006 | Symbian | Robo de información, propagación por BlueTooth y MMS |
+ | Email-Worm.MSIL.Letum | Marzo de 2006 | Windows Mobile / .NET | Propagación por correo electrónico |
+ | Trojan-Spy.SymbOS.Flexispy | Abril de 2006 | Symbian | Robo de información |
– | Trojan.SymbOS.Rommwar | Abril de 2006 | Symbian | Suplantación de aplicaciones del sistema |
– | Trojan.SymbOS.Arifat | Abril de 2006 | Symbian | — |
– | Trojan.SymbOS.Romride | Junio de 2006 | Symbian | Suplantación de aplicaciones del sistema |
+ | Worm.SymbOS.Mobler.a | Agosto de 2006 | Symbian | Eliminación de los archivos de antivirus, suplantación de aplicaciones del sistema, propagación mediante tarjetas de memoria |
+ | Trojan-SMS.J2ME.Wesber | Septiembre de 2006 | J2ME | Envío de SMS |
+ | Trojan-Spy.SymbOS.Acallno | Septiembre de 2006 | Symbian | Robo de información |
– | Trojan.SymboS.Flerprox | Octubre de 2006 | Symbian | Suplantación de los sectores de inicio del sistema |
– | not-a-virus:Tool.SymbOS.Hidmenu | Octubre de 2006 | Symbian | Aplicación |
Nuevas familias de virus móviles, 2006
Situación actual
En el presente, la principal amenaza para los usuarios son los gusanos móviles Cabir y Combar, que ya se han detectado en unos treinta países. Sin embargo, estos virus no están orientados al robo de datos y si causan perjuicios económicos lo hacen sólo de forma indirecta (ComWar se propaga vía MMS, que le cuestan dinero al usuario). Los autores de virus para dispositivos móviles todavía no han aprendido a lucrar con sus creaciones. Se puede considerar que los troyanos que envían SMS a números de pago son sólo ensayos. Por otra parte, los datos almacenados en los teléfonos no despiertan gran interés entre los delincuentes. Todavía es más fácil robar datos de los ordenadores que de los teléfonos.
Consideramos que el estado actual de la virología móvil puede caracterizarse como la calma que precede a la tormenta. Desde el punto de vista tecnológico, las posibilidades de los virus móviles y los medios en que habitan ya han sido aprovechadas de una u otra manera por los autores de virus. Todas las plataformas móviles populares son vulnerables a los ataques de los virus. El espectro de conductas y funciones de los gusanos, troyanos y virus conocidos reproducen literalmente los fenómenos existentes en el mundo de los virus para ordenadores.
Hasta el momento, los autores de virus móviles han creado muy pocos troyanos, que son muy simples. Como ya lo habíamos mencionado, los script-kiddies son los que se han mostrado más activos, lo que puede conducir a una ola más de nuevas variantes de las familias ya conocidas, algo parecido a lo que ocurrió en diciembre de 2005 y la primavera de 2006. Sin embargo, el factor determinante del desarrollo de los virus móviles en el futuro próximo sigue siendo la proporción de los teléfonos inteligentes en el mercado y la posibilidad de ganar dinero ilegalmente por medio de los teléfonos infectados.
Pronósticos
En lo que respecta a los pronósticos para 2007, es improbable que las amenazas para los usuarios móviles se incrementen de forma notable. Los virus para dispositivos móviles todavía no se crean en cantidades industriales, y no creemos que lo hagan en los próximos dos años.
La amenaza para los usuarios crecerá proporcionalmente al crecimiento de la popularidad de los teléfonos inteligentes (smartphones). Con el pasar del tiempo, sin duda, llegarán a ser miles de millones en todo el mundo, y las nuevas funciones que traigan permitirán usarlos de la misma manera que los ordenadores en la actualidad. Esto inevitablemente atraerá la atención de los delincuentes cibernéticos y conducirá al crecimiento de la cantidad de troyanos para teléfonos.
Kaspersky Security Bulletin 2006. Virus para dispositivos móviles