Boletín de seguridad de Kaspersky

Las amenazas informáticas financieras en 2013. Parte 2: el malware

Principales hallazgos

Según los datos provenientes de los subsistemas de protección de los productos de Kaspersky Lab, en 2013 la cantidad de ataques financieros, ya sean phishing o mediante el uso de programas maliciosos, ha crecido notablemente.

Las principales cifras obtenidas durante la investigación son las siguientes:

Malware para PC

  • La cantidad de ataques informáticos realizados usando programas maliciosos dirigidos al robo de datos financieros en 2013 creció en un 27,6% y alcanzó los 28,4 millones. La cantidad de usuarios atacados fue de 3,8 millones y el crecimiento en el año de un 18,6%
  • La cantidad de usuarios que se toparon con ataques financieros realizados mediante programas maliciosos en 2013 fue del 6,2% del total de usuarios atacados. En comparación con 2012 este índice ha crecido en 1,3 puntos porcentuales
  • Entre los programas maliciosos financieros se desarrollaron más activamente los instrumentos relacionados con Bitcoin, pero el papel principal lo sigue jugando el robo de dinero de cuentas bancarias, por ejemplo el programas malicioso Zeus.

Programas maliciosos para dispositivos móviles

  • En la colección de Kaspersky Lab la cantidad de aplicaciones maliciosas para Android en el segundo semestre de 2013 casi se ha quintuplicado, desde 265 muestras en junio hasta 1321 en diciembre.
  • En 2013 los expertos de Kaspersky Lab descubrieron por primera vez programas troyanos para Android capaces de robar dinero de las cuentas bancarias de los usuarios.

Más adelante en esta investigación analizaremos con más detalle la dinámica de los ataques, el territorio donde se realizan y la lista de blancos.

El malware financiero

Los programas diseñados para robar dinero electrónico e información financiera son uno de los tipos más complejos de malware. Esta clase de programas permite a los delincuentes informáticos convertir sus esfuerzos en dinero en efectivo de una forma rápida, por lo que no escatiman fuerzas ni medios para crear troyanos y backdoors financieros. Según las observaciones de Kaspersky Lab, los autores de programas maliciosos están dispuestos a gastar decenas de miles de dólar por información sobre nuevas vulnerabilidades, para poder evadir los productos de defensa y superar a sus competidores en el campo de operaciones ilegales.
En 2013 las soluciones de Kaspersky Lab neutralizaron 28,4 millones de ataques lanzados mediante software malicioso financiero, un 27,6% más que el año anterior. La cantidad de usuarios atacados mediante este tipo de software malicioso también creció en un 18,6%, hasta alcanzar los 3,8 millones. En la investigación se tomaron en cuenta los datos sobre ataques realizados mediante troyanos bancarios, keyloggers, software para robar billeteras virtuales de Bitcoin y para descargar programas de generación de esta moneda virtual.

La participación de los programas para robar y hacer estafas en la cantidad total de ataques maliciosos es relativamente pequeña: en 2013 les corresponde el 0,44% de todos los ataques, pero esto es 0,12 puntos porcentuales más que el año anterior. Cuando se trata de la cantidad de usuarios, la cantidad de amenazas financieras es mayor: entre las personas que sufrieron ataques de software malicioso de todos los tipos el año pasado, el 6,2% se encontraron con una u otra variedad de programas financieros peligrosos. En comparación con 2012 este índice ha crecido en 1,3 puntos porcentuales.

Usuarios atacados en 2013

En 2013 el software malicioso financiero afectó al 6,2% de los usuarios víctimas del malware en general.

Entre la cantidad de ataques y la cantidad de usuarios atacados existe una débil correlación. En el periodo comprendido entre 2012 y 2013 el porcentaje de ataques mensuales cambió en varias decenas. En la primavera de 2012 tuvo una abrupta caída y volvió a su nivel anterior sólo en otoño del 2013, pero la cantidad de usuarios atacados no se vio afectada por estas bruscas fluctuaciones y prácticamente cada mes mostró una dinámica positiva.

Malware financiero: ataques y usuarios atacados en 2012-2013

La cantidad de usuarios atacados por los programas maliciosos financieros creció durante 2013

La caída de la cantidad de ataques en la primavera de 2012 puede estar relacionada con el hecho de que varios grupos de delincuentes informáticos dejaron de existir. Por su parte, el pico de ataques en la segunda mitad de 2013 puede explicarse por varios factores: los delincuentes descubrieron nuevas y peligrosas vulnerabilidades en el software Oracle Java, lo que les permitió aumentar la cantidad de ataques. Otro factor fue que el crecimiento de la tasa de cambio de Bitcoin a finales de año hizo que se activaran los programas que roban billeteras electrónicas de esta moneda.

Fronteras de las amenazas: territorios de los ataques y los usuarios atacados

Entre los países que sufren con más frecuencia ataques de software malicioso financiero en 2012-2013 el líder es Rusia, con más del 37% de los ataques. La participación del resto de los países en el periodo analizado ni siquiera superó el límite del diez por ciento.

Países más atacados en 2012-2013

El TOP10 de los países sufrió cerca del 70% del total de los ataques financieros en dos años

Rusia también se convirtió en líder según la cantidad de ataques por año. Pero la cantidad de usuarios atacados en ese país durante 2013 bajó un poco, mientras que en la mayoría de los demás países del TOP10 se notó un crecimiento.

Territorios de los ataques con malware financiero

Territorios de los usuarios atacados con malware financiero

El número de usuarios atacados por año por el malware financiero ha aumentado en 8 de los 10 países líderes

Los usuarios de Rusia son los que corrieron el riesgo de convertirse en víctimas de ataques financieros con más frecuencia: en 2013 cada persona que despertó el interés de los delincuentes informáticos sufrió ataques un promedio de 14,5 veces. Entre los habitantes de EE.UU. este índice sólo supero levemente las 8 veces.

País Cantidad de ataques lanzados mediante malware financiero Dinámicapor año Cantidad promedio de ataques contra el usuario
Federación de Rusia 11 474 000+ 55,28% 14,47
Turquía 899 000+ 156,41% 9,22
EE.UU. 1 529 000+ -22,76% 8,08
Vietnam 1 473 000+ 65,08% 6,43
Kazajistán 517 000+ -26,88% 6,15
Italia 593 000+ -32,05% 5,61
India 1 600 000+ 65,03% 4,47
Ucrania 401 000+ -7,54% 4,07
Alemania 747 000+ -0,73% 3,9
Brasil 553 000+ -21,02% 3,87

Promedio de ataques contra cada habitante que fue víctima del malware financiero en 2013

Entre los países líderes por la cantidad de ataques informáticos, el subtipo de amenazas online se encontró sobre todo en Turquía y Brasil. La cantidad de usuarios que sufrió ataques financieros en estos países constituyo el 12% y 10,5% respectivos de la cantidad de usuarios que se toparon con programas maliciosos en 2013. En Rusia este índice superó un poco el 6%, y en EE.UU. sólo uno de cada treinta de los atacados se encontró con una u otra amenaza informática financiera.

País Usuarios atacados por el malware financiero Dinámica por año % de usuarios atacados por cualquier malware
Turquía 97 000+ 37,05% 12,01%
Brasil 143 000+ 29,28% 10,48%
Kazajistán 84 000+ 5,11% 8,46%
Italia 105 000+ 20,49% 8,39%
Vietnam 229 000+ 31,77% 7,4%
India 358 000+ 59,1% 6,79%
Federación Rusa 792 000+ -4,99% 6,16%
Ucrania 98 000+ 22,73% 6,08%
Alemania 191 000+ 43,22% 5,52%
EE.UU. 189 000+ 22,30% 3,1%

Usuarios atacados por malware financiero en 2013 y su proporción entre los habitantes del país que se encontraron con cualquier tipo de programas maliciosos

Si damos un vistazo al mapamundi, notamos que la cantidad de ataques financieros es relativamente pequeña en China, EE.UU., Canadá y muchos países europeos. Los países líderes según este índice están repartidos por todo el mundo. Entre ellos están Mongolia, Camerún, Turquía y Perú.

Porcentaje de usuarios que se topó con malware financiero del total de usuarios atacados por malware en 2013

Conozca a su enemigo: tipos de malware financiero

Para entender qué malware dirigido a los activos financieros de los usuarios ha dominado el paisaje de las amenazas en el año pasado, los expertos de Kaspersky Lab han dividido los instrumentos de los delincuentes informáticos en categorías. Para los objetivos de esta investigación se tomó más de treinta de las muestras más representativas de malware usado para ataques financieros. La selección se dividió en cuatro grupos, dependiendo de las funciones y blancos de los programas: malware bancario, keyloggers, instrumentos para el robo de billeteras Bitcoin e instaladores de programas generadores de Bitcoins.

El grupo más numeroso son los de malware bancario. Este tipo incluye troyanos y backdoors para el robo de dinero de las cuentas o para obtener información necesaria para robarlas. Entre los demás programas maliciosos tenemos los famosos Zbot, Carberp y SpyEye.

Ataques con malware financiero en 2013

Los representantes de la segunda categoría, los keyloggers, están destinados al robo de información confidencial, entre ella de carácter financiero. A menudo los troyanos bancarios tienen funciones similares y la popularidad de los keyloggers como instrumentos independientes está decreciendo. Entre ellos, los más populares son KeyLogger y Ardamax.

Los dos tipos restantes de malware están relacionados con la moneda cifrada Bitcoin, que estos dos últimos años se ha convertido en presa deseada por los estafadores financieros. Este software incluye instrumentos para el robo de billeteras Bitcoin e instala de forma secreta programas para la generación (mining) de esta moneda.

Al primer tipo pertenece el software financiero que roba los ficheros de las billeteras donde se guarda la información sobre las Bitcoins del usuario. El segundo es un poco más difícil de clasificar: para instalar las aplicaciones que generan Bitcoins (mining) se puede usar prácticamente cualquier muestra de programa malicioso capaz de descargar en el equipo nuevos programas sin que el usuario se dé cuenta, por eso para la investigación se seleccionaron sólo aquellas muestras de programas maliciosos que más de una vez mostraron ser capaces de descargar y ejecutar instrumentos de mining.

Merece la pena destacar que esta división no pretende ser absolutamente exacta. Por ejemplo, un mismo keylogger puede usarse tanto para obtener información financiera, como para robar cuentas de juegos online. Pero por lo general los programas maliciosos tienen una u otra “especialización” que determina el tipo dominante de delito que se realiza con su ayuda, lo que permite vincular estos programas con determinado tipo de delito informático, como los financieros.

El malware bancario ataca

Entre las amenazas financieras en 2013 un gran papel lo ha jugado el malware bancario, software malicioso para robar dinero de las cuentas de los usuarios. Ese año casi se alcanzó los 19 millones de ataques informáticos, lo que constituyó dos tercios del total de los ataques financieros lanzados mediante software malicioso.

A finales de 2013 el porcentaje total de los usuarios atacados cada mes por los programas para robo de Bitcoins y los instaladores de los programas generadores de Bitcoins se acercó mucho al del malware bancario

El más activo entre los bancarios tanto por la cantidad de ataques, como por la cantidad de usuarios atacados fue el programa troyano Zbot (Zeus). La cantidad de ataques lanzada por sus modificaciones casi se ha duplicado durante el año y la cantidad de usuarios que atacaron superó los índices de los demás programas maliciosos bancarios del TOP10 en conjunto.

Zbot, 2012-2013

En 2011 el código fuente de Zbot se hizo público y sobre su base se crearon y siguen creando nuevas variantes de software malicioso, lo que influye en la estadística de ataques. Zbot también es famoso porque sobre su base se desarrolló la plataforma Citadel, que fue uno de los intentos de transferir los principios del software comercial a la esfera de la creación de programas maliciosos. Los usuarios de Citadel no sólo podían comprar un troyano, sino también recibir asistencia técnica y actualizaciones para evitar que los antivirus lo detectasen. También en los recursos web de Citadel se había organizado un foro, donde los hackers podían dejar solicitudes de implementación de nuevas funciones. A principios de junio de 2013 la compañía Microsoft en colaboración con FBI anunció la clausura de varias grandes botnets que eran parte de Citadel, lo que fue un gran triunfo en el campo de la lucha contra los delitos informáticos. Pero como vemos en la estadística de Kaspersky Lab, este acontecimiento no tuvo mucha influencia en la propagación de los programas maliciosos dedicados al robo de datos financieros.

La fuerte caída de la cantidad de ataques del troyano Qhost puede estar relacionada con el arresto de sus creadores, que en 2011 robaron a los clientes de un importante banco ruso cerca de 400.000 dólares. Los autores del programa malicioso fueron declarados culpables ya en 2012, pero esto no impidió que la amenaza se siguiera propagando. La relativa simplicidad de la configuración y el uso de este programa malicioso atrae a nuevos delincuentes.

Qhost, 2012-2013

El número de ataques lanzados por el troyano Carberp bajó en la primera mitad de 2013 después del arresto en primavera de sus usuarios, entre los cuales se supone que estaban sus creadores. Pero en verano empezó un significativo crecimiento, que permitió a Carberp (según los resultados de 12 meses) igualar los índices alcanzados en 2012. Esto, entre otras cosas, está relacionado con la publicación del código fuente del programa malicioso, que sirvió de impulso para la creación de nuevas versiones del troyano. Pero de todos modos el número de usuarios atacados por las diferentes modificaciones de este software malicioso disminuyó varias veces a lo largo del año.

Carberp, 2012-2013

La tendencia general es evidente: después de la relativa calma de la segunda mitad de 2012, en 2013 los estafadores que lucran con los ataques mediante el software financiero se activaron, de lo cual da fe el crecimiento de la cantidad de ataques y de usuarios atacados.

Número de ataques mediante malware bancario, 2012-2013

* Trojan-Banker es una entrada universal en las bases de datos de Kaspersky Lab, que usa reglas heurísticas para detectar software financiero malicioso

Bitcoin: ¿dinero fácil?

Bitcoin es una moneda electrónica que funciona sin ningún tipo de regulación estatal gracias a las personas que la usan. La red distribuida que sustenta el funcionamiento de Bitcoin empezó a trabajar en 2009. Al principio este dinero lo usaban personas cercanas a la industria TI, pero poco a poco se hizo muy conocido. Uno de los motivos de la popularización de la moneda fue la posibilidad de usarla para pagar en algunos grandes sitios web que vendían mercancías ilegales. Estos habían elegido Bitcoin por el anonimato que garantiza.

Variante de representación de una billetera Bitcoin en papel

fin-threats-2013-p2-sp-01

En teoría, cualquiera que lo desee puede conseguir monedas Bitcoin usando la potencia de procesamiento de su ordenador, con un proceso llamado mining. La esencia del mining es resolver una serie de problemas criptográficos que mantienen el funcionamiento de la red Bitcoin.

Muchos “ricos” gracias a Bitcoin ganaron sus fortunas en la etapa de formación de la moneda, cuando no se la percibía como un medio monetario líquido. Pero a medida que la moneda cifrada iba ganando popularidad, se hacía cada vez más difícil obtener Bitcoins con la potencia de procesamiento de los ordenadores. Esta es una de las peculiaridades del sistema, que tienen una cantidad fija y limitada de monedas que pueden generarse. En el presente, la complejidad de los cálculos necesarios ha crecido hasta tal grado que el mining de Bitcoin en los ordenadores comunes y corrientes se ha hecho poco rentable, ya que el potencial lucro apenas cubre los gastos de electricidad.

La tasa de cambio de Bitcoin a principios de 2013 estaba cerca de los 13,6 dólares, pero en diciembre, cuando alcanzó su pico histórico, superaba los 1200 dólares

Durante el año la tasa de cambio de Bitcoin crecía febrilmente, y superó los 1200 dólares a finales de diciembre. Después, la tasa de cambio empezó a caer, entre otros motivos por la actitud recelosa de los bancos centrales de varios países ante esta moneda. Así, la negativa del Banco Popular de China de sostener la bolsa de Bitcoin hizo que el cambio de la moneda bajara aproximadamente un tercio. Al mismo tiempo, en otros países la actitud ante Bitcoin es muy positiva. En particular, el ministerio de finanzas de Alemania la ha reconocido oficialmente como medio de pago, y en Canadá y EE.UU. hasta se han instalado cajeros automáticos que permiten sacar bitcoins.

En una palabra, de un fenómeno de Internet aislado, sustentado por un pequeño grupo de entusiastas, Bitcoin en unos pocos años se ha convertido, si no en una moneda hecha y derecha, por lo menos en una entidad virtual que tiene valor real y que está experimentando una gran demanda. Por supuesto, este hecho no podía pasar inadvertido por los delincuentes. Desde el momento en que Bitcoin empezó a venderse en las bolsas online por dinero real y cada vez más vendedores comenzaron a aceptarlo como medio de pago, crecía cada vez más el interés de los delincuentes informáticos.

Bitcoin se guarda en el ordenador en un fichero-billetera especial (wallet.dat u otro, dependiendo de la aplicación usada). Si este fichero no está cifrado y el delincuente logra robarlo, no tendrá impedimentos para transferir el dinero a su billetera. La red Bitcoin permite a cualquiera de su miembros obtener acceso a la historia de operaciones realizadas por cualquiera de sus usuarios, es decir, se puede hacer un seguimiento y establecer a qué billetera se transfirió el dinero. Pero como nadie regula Bitcoin, no tendrá sentido quejarse a ninguna parte.

Además de robar bitcoins, los delincuentes pueden usar los ordenadores de sus víctimas para realizar el mining de “monedas”, de la misma forma que lo hacen para enviar spam y realizar otras actividades maliciosas. Además, se sabe de la existencia de programas-extorsionadores, que exigen pagar en Bitcoin para descifrar los datos del usuario.

El siguiente gráfico muestra la dinámica de los ataques con el uso de instrumentos maliciosos para robar billeteras Bitcoin, y de un software “multifuncional” que instala programas de mining. En adición a estos, se mencionan los casos de detección de aplicaciones de mining de Bitcoin en el ordenador, instaladas por el usuario o sin que este se diese cuenta. Los productos de Kaspersky Lab ponen a las aplicaciones de mining en la categoría RiskTool. Esto significa que esta aplicación tiene funciones potencialmente peligrosas, y el usuario recibe una advertencia.

Como vemos en el gráfico, la cantidad de reacciones de los productos de Kaspersky Lab ante los programas ladrones y los que descargan aplicaciones de mining de Bitcoin empezó a crecer en la segunda mitad de 2012. La dinámica se hizo aún más interesante en 2013. Por ejemplo, uno de los picos más altos de las reacciones de los productos de Kaspersky Lab ante el software malicioso relacionado con Bitcoin tuvo lugar en abril. Casi al mismo tiempo el tipo de cambio de Bitcoin dio un salto que lo llevó a superar los 230 dólares, y es evidente que este crecimiento pudo provocar a los delincuentes a difundir con más empeño software malicioso para el robo o mining de Bitcoin.

Y a propósito, en abril el precio de la moneda tuvo una caída abrupta hasta los 83 dólares. A la caída le siguió una recuperación hasta los 149 dólares a finales de abril y en mayo llegó a estabilizarse. Desde mayo hasta agosto Bitcoin se mantuvo en un corredor de 90-100 dólares y en agosto empezó a crecer paulatinamente. Este proceso tenía una débil correlación con la situación en el frente de los programas maliciosos, pero no excluimos la posibilidad de que haya sido justo la estabilización del cambio de Bitcoin lo que provocó el nuevo salto de los ataques en agosto. Otro salto brusco de la cantidad de ataques sucedió en diciembre. El cambio de Bitcoin este mes al principio bajó de golpe, de 1000 a 584 dólares, pero después empezó a crecer también de golpe, alcanzando los 804 dólares a finales de mes.

De la misma manera desde abril iba aumentando la cantidad de reacciones de los productos de Kaspersky Lab ante el software de generación de bitcoins. Este crecimiento se prolongó hasta octubre, pero en noviembre la cantidad de reacciones empezó a bajar.

En general, en 2013 tanto la cantidad de reacciones de los productos de Kaspersky Lab, como la cantidad de usuarios que se toparon con software malicioso o potencialmente malicioso relacionado con Bitcoin creció varias veces en comparación con 2012. También es digno de atención el hecho de que desde octubre de 2013 la cantidad de reacciones ante los programas maliciosos que instalaban software de mining de Bitcoin empezó a caer, y por el contrario, empezó a crecer la cantidad de reacciones ante los ladrones de billeteras. Esto puede ser una consecuencia de la peculiaridad de Bitcoin antes mencionada, de que mientras más monedas se generen en el sistema, más difícil será crear nuevas. Esto pudo obligar a los delincuentes a concentrarse en la búsqueda y robo de billeteras Bitcoin con monedas ya generadas.

Los programas dirigidos al robo de información financiera son, sin lugar a duda, uno de los tipos de software malicioso más feroces. Las dimensiones de la amenaza acrecientan, entre otras cosas, por la enorme cantidad de víctimas potenciales de ataques mediante este tipo de software malicioso: de hecho, cada usuario de tarjetas de crédito que entra a Internet desde un equipo mal protegido puede morder el anzuelo de los delincuentes. Sin embargo los ordenadores y portátiles no son los únicos dispositivos desde los cuales los usuarios realizan transacciones financieras. Prácticamente cada persona moderna posee un smartphone o una tableta. Y para los delincuentes estos dispositivos son brechas adicionales hacia el bolsillo de los usuarios de servicios financieros.

Amenazas bancarias móviles

Durante largo tiempo los dispositivos móviles eran terra incognita para los delincuentes informáticos. En mucho esto estaba relacionado con el limitado número de dispositivos móviles de las primeras generaciones y la complejidad que implicaba escribir software para ellos. Pero todo cambió con la aparición de los smartphones y las tabletas, dispositivos multifuncionales conectados a Internet y con herramientas para desarrollar aplicaciones al alcance del público. Hace ya varios años que los expertos de Kaspersky Lab registran cada año el aumento en la cantidad de programas maliciosos para dispositivos móviles. Sobre todo, los que funcionan con el sistema Android.

En 2013 Android fue el principal blanco de los ataques maliciosos. El 98,1% de todos los programas maliciosos móviles detectados en 2013 se dirigen justamente a esta plataforma, lo que testimonia la popularidad de este sistema operativo móvil y de las vulnerabilidades de su arquitectura.

Malware móvil en 2013

Con esto la mayoría de los programas maliciosos móviles apunta al robo de dinero de los usuarios. A esto se dedican los Troyanos-SMS, muchos backdoors y parte de los programas maliciosos de la categorías Trojan. No obstante, una de las tendencias más peligrosas de 2013 en el campo del software malicioso móvil fue el aumento del número de programas que roban los datos de acceso a los sistemas de banca online y el robo de dinero.

Número de muestras de malware bancario móvil en la colección de Kaspersky Lab en 2013

La cantidad de este tipo de programas maliciosos empezó a crecer rápidamente desde julio, y al llegar diciembre alcanzó el nivel de más de 1300 ejemplares únicos. Aproximadamente desde ese entonces empezó a crecer la cantidad de ataques bloqueados por los productos de Kaspersky Lab.

Ataques mediante malware bancario móvil en el segundo semestre de 2013

Los programas maliciosos móviles dirigidos a los clientes de la banca online no son nuevos. Por ejemplo, ZitMo (el hermano móvil de famoso troyano bancario Win32 Zeus) se conoce desde 2010, pero no se usó en ataques masivos, entre otras razones por sus funciones específicas: ZitMо puede funcionar sólo en conjunción con el Zeus de ordenadores de escritorio. El “compañero de aventuras” intercepta el login y contraseña de acceso a la cuenta online de la víctima y la principal función de ZitMo es recibir los mensajes de texto con el código para confirmar las transacciones en el sistema de banca online y enviárselos a los delincuentes, que los usan para robar dinero.

Este esquema de fraude se encontró también en 2013: en este año los principales competidores de Zeus adquirieron “hermanos menores” para móviles: SpyEye (SpitMo) y Carberp (CitMo). Pero ellos tampoco participaron en una cantidad significativa de ataques. Entre otras cosas esto puede deberse a que en el mercado negro de las amenazas informáticas aparecieron programas troyanos más “autónomos”, capaces de funcionar sin un “compañero” de ordenador.

Un ejemplo de este tipo de software fue el programa troyano Svpeng, detectado por los especialistas de Kaspersky Lab en julio de 2013. Este troyano aprovecha cierta peculiaridad de algunos sistemas de banca online que le permite robar dinero de la cuenta bancaria de la víctima.

En Rusia algunos grandes bancos brindan a sus clientes un servicio que permite ingresar dinero a la cuenta del teléfono celular desde la tarjeta de crédito. Para esto, el cliente sólo tiene que enviar un mensaje de texto determinado desde su Smartphone a un número especial perteneciente al banco. Svpeng envía mensajes de texto a la dirección de servicios de texto de dos de estos bancos. De esta manera el dueño de Svpeng puede averiguar si la tarjeta de estos bancos está vinculada al Smartphone infectado y si lo está, obtener información sobre el balance. Después de esto, el delincuente puede darle a Svpeng la orden de transferir dinero de la cuenta bancaria a la del teléfono celular de la víctima.

fin-threats-2013-p2-sp-02

Interfaz falsificada de autorización de Svpeng

Más adelante se puede sacar el dinero de la cuenta móvil de diferentes formas, por ejemplo, girándolo a una billetera electrónica mediante el gabinete personal en el sistema del operador de telefonía, o de una forma banal, enviando mensajes a números de pago. Además, Svpeng tiene funciones de robo de logins y contraseñas de acceso a sistemas de banca online.

Otro par de ejemplos de troyanos bancarios peligrosos detectados por los especialistas de Kaspersky Lab son Pe y Wroba. El primero es similar a ZitMo, su principal función es interceptar las contraseñas únicas para confirmar transacciones, el segundo busca en el dispositivo móvil infectado aplicaciones de banca online, las elimina e instala copias falsas, con cuya ayuda recopila los datos de autentificación y los envía a los delincuentes.

Kaspersky Lab registró la mayoría de los ataques realizados con la ayuda de troyanos bancarios en 2013 en el territorio de Rusia y de países vecinos, por ejemplo, Perkele no solo atacaba a los usuarios de bancos rusos, sino también a los de algunos bancos europeos, y Wroba tiene como blanco a los usuarios de Corea del Sur.

Distribución geográfica de los ataques mediante aplicaciones maliciosas “bancarias” para Android en 2013

En términos absolutos la amplitud de los ataques mediante software financiero malicioso contra los usuarios de dispositivos móviles registrados por los productos de Kaspersky Lab es relativamente pequeña, pero es evidente la tendencia de aumento de su cantidad que se observó por más de medio año. Ella señala que los usuarios de dispositivos móviles, sobre todo en la plataforma Android, tienen que ser muy cuidadosos con la seguridad de sus datos financieros.

Los usuarios de dispositivos con iOS tampoco deben descuidarse. A pesar de que no hay muchos programas dirigidos al robo de datos confidenciales a los dueños de iPhone e iPad, en este sistema operativo se detectan con regularidad errores que permiten crear este tipo de software malicioso. Uno de los ejemplos más recientes es el error detectado por los investigadores a finales de febrero de 2014 que permite determinar los caracteres que el usuario ingresa con el teclado virtual del dispositivo. Usando esta vulnerabilidad el delincuente podía robar, entre otras cosas, el login y contraseña de acceso al sistema de banca online.

Conclusión: cuida tu billetera digital

La presente investigación ha mostrado de una forma clara que el dinero electrónico de los usuarios está en constante peligro. Cuando el usuario usa su cuenta de banca online o paga sus compras en una tienda online los delincuentes siempre están al acecho.

En 2013 han aumentado mucho todos los tipos de amenazas financieras. El porcentaje de ataques phishing lanzados con la ayuda de nombres de bancos se ha duplicado y la cantidad de ataques financieros mediante software malicioso aumentó en una tercera parte.

En el segmento del software financiero malicioso no han aparecido nuevos programas que opaquen la fama de Zbot y Qhost. Estos y otros troyanos bien conocidos son los responsables de la mayoría de los ataques lanzados el año pasado. Pero los delincuentes otra vez más han demostrado que pueden reaccionar con rapidez a las nuevas coyunturas: la avalancha de ataques contra Bitcoin que empezó a finales de 2012 ha continuado en 2013.

Los expertos de Kaspersky Lab dan las siguientes recomendaciones para reforzar la protección contra las amenazas financieras informáticas.

Para los negocios

  • El comercio tiene una parte significativa de la responsabilidad por la seguridad de los usuarios. Las compañías financieras tienen que informar a los usuarios sobre la amenaza que representan los estafadores informáticos y darles consejos sobre cómo evitar que les causen pérdidas.
  • Los bancos y los sistemas de pagos deben ofrecer a sus clientes un sistema completo de protección contra los delincuentes. Un ejemplo de tal solución puede ser la plataforma Kaspersky Fraud Prevention, que garantiza una protección de varios niveles contra los estafadores.

Para los usuarios domésticos y los usuarios de banca online

  • Los autores de software malicioso con frecuencia aprovechan las vulnerabilidades de los programas populares. Por esta razón es necesario usar sólo las versiones más nuevas de las aplicaciones e instalar las actualizaciones del sistema operativo.
  • Las reglas universales del trabajo seguro en Internet permiten reducir el riesgo de los ataques financieros. Los usuarios tienen que escoger contraseñas a prueba de descifrado, únicas para cada servicio, utilizar con cuidado las redes Wi-Fi públicas, no aceptar almacenar información confidencial en el navegador, etc.
  • Es imprescindible usar productos fiables para la protección contra el software malicioso, cuya efectividad esté confirmada por pruebas independientes. Además, algunos productos de protección, por ejemplo Kaspersky Internet Security cuentan con medios de trabajo seguro con los servicios financieros online.
  • Si usted usa un Smartphone o una tableta para ingresar al sistema de banca en Internet, a los sistemas de pago o para realizar compras online, proteja su dispositivo con una solución como Kaspersky Internet Security for Android que cuenta con avanzados sistemas de protección contra el software malicioso, el phishing y la pérdida o robo del dispositivo.

Para los dueños de moneda virtual

Debido a la juventud de Bitcoin y sus análogos como Litecoin, Dogecoin y muchos otros, muchos usuarios no conocen los detalles del trabajo con estos sistemas, por eso los expertos de Kaspersky Lab han elaborado una serie de consejos de seguridad para el uso de las monedas virtuales:

  • No use sistemas online para guardar sus ahorros. Use aplicaciones-billetera especiales.
  • Distribuya sus ahorros en varias billeteras, esto le permitirá reducir sus pérdidas si le roban una de ellas.
  • Ponga las billeteras que se usan para almacenamiento prolongado en memorias cifradas. Como alternativa puede usar billeteras impresas en papel.

Las amenazas informáticas financieras en 2013. Parte 2: el malware

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada