Boletín de seguridad de Kaspersky

Kaspersky Security Bulletin 2006. Virus para dispositivos móviles

  1. Desarrollo de los programas maliciosos en 2006
  2. Programas nocivos para UNIX y similaresì
  3. Virus para dispositivos móviles
  4. Ataques Internet: 2006
  5. El correo no solicitado en el año 2006

Resumen del año

En el campo de la virología móvil, en 2006 sucedieron varios acontecimientos que con toda probabilidad, han determinado su desarrollo en los próximos años.

  1. Se han creado troyanos comerciales para Symbian.
  2. Los malhechores han aprendido a robar dinero de las cuentas de los usuarios de los teléfonos móviles.
  3. Por vez primera, los objetos de contagio son los teléfonos móviles comunes, y no los teléfonos inteligentes.

Cambios estadísticos en el 2006

En otoño de 2005 nuestros expertos pronosticaron un flujo constante de virus semejantes a los ya conocidos, que rara vez tendrían pequeñas “incrustaciones” de nuevas tecnologías. Un estímulo adicional para los creadores de virus sería el lucro relacionado, por ejemplo, con el extenso uso de teléfonos celulares para las operaciones con los sistemas de pagos electrónicos. Pero no se pronosticaron epidemias globales de virus para dispositivos móviles por aproximadamente dos años.

Desde el punto de vista estadístico, en el año 2006 los virus móviles tuvieron los siguientes índices (según la clasificación de Kaspersky Lab):

  • Cantidad de familias de virus móviles conocidas: 22 familias
  • Cantidad de variantes y modificaciones conocidas en estas familias: 106 variantes
  • Cantidad de plataformas o sistemas operativos atacados: 2 (Symbian y WinCE)

El inicio de 2006 estuvo marcado por un significante crecimiento de la cantidad de programas maliciosos para dispositivos móviles. Solo en el periodo de febrero a abril aparecieron 43 variantes de diferentes virus móviles. En el momento pico de sus actividades los autores de virus “suministraban” a las compañías antivirus unas 10 variantes por semana, siendo los asiáticos los autores más prolíficos. En general, sus virus se caracterizaron por la diversidad de las plataformas atacadas y las tendencias de expansión en el campo de las tecnologías móviles, terreno aún poco estudiado.

Parecía que el ritmo tomado iba a prolongarse por bastante tiempo, lo que habría amenazado con convertir la creación de virus móviles en un proceso ininterrumpido, similar al de algunos virus para ordenadores. Pero en el segundo semestre de 2006 el crecimiento de la cantidad de nuevos virus casi se detuvo, tanto de las familias conocidas, como las de las nuevas.

Hasta fines de 2006 esta tendencia de baja continuó, llegando a ser de 2-7 nuevas variantes de las antiguas familias por mes. Al mismo tiempo, se redujo notablemente la cantidad de autores activos de virus móviles. De hecho, en el presente, 1 o 2 personas crean la mayor parte de los virus móviles en todo el mundo, y sus criaturas no se caracterizan por ser de alta tecnología sino que pertenecen a la clase de los primitivos Troyans-Overwriters.


Crecimiento de la cantidad de variantes de virus móviles en el año 2006

Datos estadísticos de finales de 2006:

  • Cantidad de familias de virus móviles conocidas: 35 (+13) , crecimiento – 37%
  • Cantidad de variantes y modificaciones conocidas: 186 (+80), crecimiento – 45%
  • Plataformas o sistemas operativos conocidos: 4 (+2, J2ME y MSIL)

Nuevas tecnologías

Robo de información

Llegó la época cuando se empezaron a crear troyanos-espía comerciales para Symbian. En abril se descubrió el primer espía con todas las funciones necesarias, que sus creadores vendían en su sitio web por 50 dólares americanos: Flexispy establece un control total sobre el teléfono inteligente y envía al delincuente la información sobre las llamadas hechas y los mensajes de texto enviados. Septiembre de 2006 trajo consigo otro virus similar para esta plataforma, un espía llamado Acallno, que enviaba a un número determinado todos los mensajes de texto recibidos y enviados por el teléfono infectado.

Robo de dinero

Los creadores de virus mostraron sólo uno de los métodos de robar dinero a los usuarios. Esta tecnología la “desarrollaron” hackers rusos desconocidos, que en dos ocasiones (en febrero y septiembre) usaron la función llamada “números premium”, es decir, de pago y caros. En febrero difundieron el troyano RedBrowser, que se hacía pasar por una utilidad de acceso a Internet vía SMS, pero que en realidad enviaba mensajes de texto a diferentes números “premium”. Como resultado, por cada mensaje enviado, se le cobraba cerca de 5 dólares americanos al usuario. El siguiente troyano parecido era Wesber, detectado en septiembre del 2006.

Modos de difusión

Antes, los virus móviles usaban medios de propagación propios, diferentes a los de los que utilizaban los ordenadores. Nos referimos a Bluetooth y MMS. Pero las funciones de la plataforma .NET, incluidas en WinCE, les permitieron usar una vía tradicional: el correo electrónico. El gusano Letum se comporta de la misma manera que miles de gusanos postales comunes y corrientes: al penetrar al teléfono, envía copias de sí mismo a todas las direcciones de correo electrónico de la libreta de direcciones. Además, Letum puede considerarse un virus multiplataforma, ya que también puede funcionar en los ordenadores con .NET.

Virus multiplataforma

El virus Cxover puede considerarse el primer programa malicioso multiplataforma para dispositivos móviles. Al iniciarse su ejecución, detecta el tipo de sistema operativo, y si resulta que está en un ordenador personal, busca dispositivos móviles disponibles mediante ActiveSync. Luego, el virus se copia a sí mismo vía ActiveSync al dispositivo encontrado. Al encontrarse en un teléfono o PDA, el virus trata entonces de usar el proceso inverso: copiarse a un ordenador personal. Además, puede eliminar los ficheros personales del usuario en el dispositivo móvil.

El gusano Mobler actúa de una forma levemente diferente. Al ser ejecutado en un ordenador personal (Win32), crea un fichero sis en el disco E:. Este fichero contiene varios ficheros vacíos, que el virus guarda en lugar de los ficheros de aplicaciones del sistema. El fichero también contiene el virus Win32 en sí, que se copia a la tarjeta de memoria del teléfono y un fichero autorun.inf.
Si un ordenador se conecta al teléfono infectado y trata de usar la tarjeta de memoria del teléfono, el virus se autoinicia e infecta el ordenador.
Este es un ejemplo de virus multiplataforma que es capaz de funcionar en sistemas operativos muy diferentes, como lo son Windows y Symbian.

Nuevas plataformas

Hasta 2006, de todas las plataforma móviles, las dos plataformas de teléfonos inteligentes principales eran las más atacadas, Symbian y WinCE. La aparición del troyano RedBrowser en febrero de 2006 se convirtió en una sorpresa desagradable. Por primera vez lo teléfonos celulares comunes y corrientes (no inteligentes) que usan la plataforma J2ME se convirtieron en blanco de los virus.

La infección de prácticamente cualquier teléfono, algo que hace poco se consideraba imposible, se convirtió en realidad. El sólo hecho de que aparezcan programas maliciosos para J2ME es un suceso tan serio como la aparición del primer gusano para teléfonos inteligentes en junio del 2004. Por el momento es difícil hacer una apreciación de todas las amenazas potenciales, pero el hecho de que la cantidad de teléfonos celulares es mucho mayor que la de teléfonos inteligentes y que los primeros ya han sido infectados por los delincuentes nos obliga empezar las investigaciones en el campo de la protección antivirus de este tipo de dispositivos.

En primavera también se detecto una “puerta trasera” conceptual para los dispositivos BlackBerry, pero como estaba escrita en el idioma Java, no podemos considerarla como un virus para una nueva plataforma.

De las 13 nuevas familias descubiertas por Kaspersky Lab en 2006, 7 contenían novedades tecnológicas, entre ellas dos para nuevas plataformas.

Innovación Familia Fecha de detección Sistema operativo Funciones
+ Trojan-SMS.J2ME.RedBrowser Febrero de 2006 J2ME Envío de SMS
+ Worm.MSIL.Cxover Marzo de 2006 Windows Mobile / .NET Eliminación de ficheros, copia de su cuerpo a otros dispositivos
Worm.SymbOS.StealWar Marzo de 2006 Symbian Robo de información, propagación por BlueTooth y MMS
+ Email-Worm.MSIL.Letum Marzo de 2006 Windows Mobile / .NET Propagación por correo electrónico
+ Trojan-Spy.SymbOS.Flexispy Abril de 2006 Symbian Robo de información
Trojan.SymbOS.Rommwar Abril de 2006 Symbian Suplantación de aplicaciones del sistema
Trojan.SymbOS.Arifat Abril de 2006 Symbian
Trojan.SymbOS.Romride Junio de 2006 Symbian Suplantación de aplicaciones del sistema
+ Worm.SymbOS.Mobler.a Agosto de 2006 Symbian Eliminación de los archivos de antivirus, suplantación de aplicaciones del sistema, propagación mediante tarjetas de memoria
+ Trojan-SMS.J2ME.Wesber Septiembre de 2006 J2ME Envío de SMS
+ Trojan-Spy.SymbOS.Acallno Septiembre de 2006 Symbian Robo de información
Trojan.SymboS.Flerprox Octubre de 2006 Symbian Suplantación de los sectores de inicio del sistema
not-a-virus:Tool.SymbOS.Hidmenu Octubre de 2006 Symbian Aplicación

Nuevas familias de virus móviles, 2006

Situación actual

En el presente, la principal amenaza para los usuarios son los gusanos móviles Cabir y Combar, que ya se han detectado en unos treinta países. Sin embargo, estos virus no están orientados al robo de datos y si causan perjuicios económicos lo hacen sólo de forma indirecta (ComWar se propaga vía MMS, que le cuestan dinero al usuario). Los autores de virus para dispositivos móviles todavía no han aprendido a lucrar con sus creaciones. Se puede considerar que los troyanos que envían SMS a números de pago son sólo ensayos. Por otra parte, los datos almacenados en los teléfonos no despiertan gran interés entre los delincuentes. Todavía es más fácil robar datos de los ordenadores que de los teléfonos.

Consideramos que el estado actual de la virología móvil puede caracterizarse como la calma que precede a la tormenta. Desde el punto de vista tecnológico, las posibilidades de los virus móviles y los medios en que habitan ya han sido aprovechadas de una u otra manera por los autores de virus. Todas las plataformas móviles populares son vulnerables a los ataques de los virus. El espectro de conductas y funciones de los gusanos, troyanos y virus conocidos reproducen literalmente los fenómenos existentes en el mundo de los virus para ordenadores.

Hasta el momento, los autores de virus móviles han creado muy pocos troyanos, que son muy simples. Como ya lo habíamos mencionado, los script-kiddies son los que se han mostrado más activos, lo que puede conducir a una ola más de nuevas variantes de las familias ya conocidas, algo parecido a lo que ocurrió en diciembre de 2005 y la primavera de 2006. Sin embargo, el factor determinante del desarrollo de los virus móviles en el futuro próximo sigue siendo la proporción de los teléfonos inteligentes en el mercado y la posibilidad de ganar dinero ilegalmente por medio de los teléfonos infectados.

Pronósticos

En lo que respecta a los pronósticos para 2007, es improbable que las amenazas para los usuarios móviles se incrementen de forma notable. Los virus para dispositivos móviles todavía no se crean en cantidades industriales, y no creemos que lo hagan en los próximos dos años.

La amenaza para los usuarios crecerá proporcionalmente al crecimiento de la popularidad de los teléfonos inteligentes (smartphones). Con el pasar del tiempo, sin duda, llegarán a ser miles de millones en todo el mundo, y las nuevas funciones que traigan permitirán usarlos de la misma manera que los ordenadores en la actualidad. Esto inevitablemente atraerá la atención de los delincuentes cibernéticos y conducirá al crecimiento de la cantidad de troyanos para teléfonos.

Kaspersky Security Bulletin 2006. Virus para dispositivos móviles

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada