Informes sobre malware

Virología móvil, V parte

Desde que publicamos la cuarta parte de la “Virología móvil” ha pasado casi un año. Entonces, hicimos varios pronósticos sobre el desarrollo de las amenazas para las plataformas móviles en 2011. Veamos si se cumplieron.

En resumen, nuestras tesis de entonces eran:

  1. Dominarían los troyanos SMS.
  2. Crecería la cantidad de amenazas para Android.
  3. La cantidad de las vulnerabilidades descubiertas en diferentes plataformas móviles crecerían, y también es posible que lo hagan los ataques que las aprovechen.
  4. Aumentaría el software espía.

Ahora, a principios de 2012, podemos hablar de que todos nuestros pronósticos, por desgracia, se cumplieron.

  1. Los troyanos SMS se han desarrollado activamente.
  2. Ha crecido notablemente la cantidad de amenazas para Android.
  3. Los delincuentes usan activamente algunas vulnerabilidades.
  4. El software espía también causa muchos problemas a los usuarios.

También es necesario mencionar que ha terminado, de una forma abrupta, la hegemonía de los programas maliciosos para la plataforma J2ME. En gran parte esto se ha debido a la gran atención que los creadores de virus han prestado a la plataforma Android. Como consecuencia de la popularidad de esta plataforma, ante los creadores de virus ha surgido una serie de problemas adicionales, que detallaremos más adelante.

En general, en 2011 los programas maliciosos han adquirido un nuevo nivel de calidad, es decir, se han hecho más complejos. Sin embargo, entre los programas maliciosos móviles siguen predominando los programas maliciosos rusos y chinos, siendo poco probable que la situación cambie en el futuro inmediato.

A estos y otros fenómenos está dedicada esta quinta parte de la Virología Móvil.

Estadística general

Por tradición, empezaremos nuestro análisis con los datos estadísticos.

Número de familias y modificaciones

Recordamos que a finales de 2010 en nuestra colección había 153 familias y más de 1000 modificaciones de malware móvil. Al mismo tiempo, en 2010 se detectó un 65,12% más de nuevos programas maliciosos para dispositivos móviles que en 2009.

Cantidad de modificaciones y familias de programas maliciosos móviles en la colección de Kaspersky Lab:

Plataforma Modificaciones Familias
Android 4139 126
J2ME 1682 63
Symbian 435 111
Windows Mobile 81 23
Others 19 8

¿Cuánto ha crecido la cantidad de amenazas en 2011? En 2011 hemos registrado un total de 5255 nuevas modificaciones y 178 nuevas familias de programas maliciosos móviles. Y al mismo tiempo, la cantidad total de amenazas por año ha aumentado 6,4 veces. Sólo en el último mes de 2011 hemos agregado a nuestras bases antivirus más descripciones de programas maliciosos móviles que en el periodo que va de 2004 a 2010.


Cantidad de nuevas modificaciones de programas
maliciosos por mes, 2004-2011

En el diagrama se ve claramente que en la segunda mitad de 2011 la cantidad de nuevas amenazas creció con gran ímpetu. En toda la historia del malware móvil no habíamos visto nada parecido.

Distribución por conductas

En el pasado no hemos aducido la estadística de distribución de programas maliciosos según comportamientos. Pero los datos que obtuvimos en 2011 han resultado bastante curiosos.


Estadística de distribución de programas maliciosos según
comportamientos en 2011

Como ya hemos escrito más arriba, en 2011 no solo ha crecido impetuosamente la cantidad de amenazas móviles, sino que también ha tenido lugar un cambio cualitativo del malware. A pesar de que entre los programas detectados siguen predominando los primitivos troyanos SMS, que permiten a los delincuentes lucrar sin esfuerzo, su cantidad ha bajado del 44,2% en 2010 al 36,6% en 2011.

Como ya hemos escrito más arriba, en 2011 no solo ha crecido impetuosamente la cantidad de amenazas móviles, sino que también ha tenido lugar un cambio cualitativo del malware. A pesar de que entre los programas detectados siguen predominando los primitivos troyanos SMS, que permiten a los delincuentes lucrar sin esfuerzo, su cantidad ha bajado del 44,2% en 2010 al 36,6% en 2011.

En tercer lugar están los programas espía, que roban la información personal de los usuarios o los datos del dispositivo infectado. Nuestro pronóstico del desarrollo de las amenazas que “robarían de todo” también se cumplió en el ámbito móvil: en 2011 los escritores de virus los crearon y propagaron activamente estos programas maliciosos.

Distribución por plataformas

Si hablamos de la distribución del malware móvil por plataformas, entonces, como hemos mencionado más arriba, J2ME ha dejado de ser el principal terreno de existencia de programas maliciosos para dispositivos móviles.


Distribución de las modificaciones de malware móvil en 2011

El motivo por el cual la plataformas J2ME ha dejado de liderar es evidente: el crecimiento significativo de la popularidad de dispositivos móviles que funcionan con Android. Algo parecido pasó en su tiempo con la plataforma Symbian. En 2004-2006 Symbian era el líder indiscutible entre los SO móviles, y también entre los escritores de virus. Sin embargo, más tarde J2ME le llevaría la delantera, porque el malware para esta plataforma podía atacar unaa mayor cantidad de dispositivos móviles. Hoy en día Android es el sistema operativo móvil más popular, lo que se refleja en la aparición y desarrollo de nuevas amenazas. Según diferentes apreciaciones, hoy en día el SO Android está instalado en el 40-50% de todos los smartphones.

En el segundo semestre de 2011 se registró un rápido crecimiento de la cantidad de amenazas para Android. Hacia mediados de verano la cantidad de malware para Android superó la de Symbian y en otoño quedó atrás la plataforma J2ME. A finales de año Android se consolidó en la posición de líder y es poco probable que esta situación cambie en el futuro próximo.

Android en la mira

El explosivo crecimiento de la cantidad de programas maliciosos para todas las plataforma móviles se debió sobre todo al aumento del número de malware para Android.


Número de nuevas modificaciones de todo el malware móvil y del malware
para Android
por mes en 2011

En el gráfico se puede observar que en la segunda mitad del año, cuando la cantidad de nuevos programas maliciosos para dispositivos móviles empezó a crecer a pasos acelerados, la aplastante mayoría del malware que detectábamos cada mes eran programas para Android. En cifras absolutas tenemos:

Mes Cantidad total
de nuevas
modificaciones
Cantidad de nuevas
modificaciones
para Android
2011-1 27 4
2011-2 93 11
2011-3 139 39
2011-4 102 5
2011-5 175 25
2011-6 301 112
2011-7 298 212
2011-8 313 161
2011-9 680 559
2011-10 879 808
2011-11 1049 1008
2011-12 1199 1179

Todos los programas para Android que detectamos se dividen en dos grandes grupos:

  • Malware cuya tarea es robar dinero o información.
  • Malware que tiene como objetivo tomar el control del dispositivo.


Distribución por comportamientos del malware para Android

Objetivo: robo de información o de dinero

Ya en octubre de 2011 una tercera parte de los programas para Android estaba, de una u otra forma, dirigida al robo de información personal del dispositivo del usuario (contactos, registro de llamadas, mensajes SMS, coordenadas GPS, fotos, etc.).

Los delincuentes cibernéticos chinos se especializan sobre todo en el robo de información. Y por lo general, les interesa más la información sobre el dispositivo (IMEI y IMSI, país, número de teléfono) que la información personal o confidencial de su dueño.

El troyano Nickspy (Trojan-Spy.AndroidOS.Nickspy) es una excepción entre toda la uniforme variedad de malware chino. Este programa malicioso es capaz de grabar todas las conversaciones del dueño del dispositivo infectado en forma de ficheros de sonido y enviarlos a un servidor remoto perteneciente a los delincuentes. Una de las modificaciones de Nickspy, que se enmascara como una aplicación de la red social Google+ puede responder a las llamadas entrantes del número de teléfono indicado por los delincuentes en el fichero de configuración del programa malicioso. Cuando un teléfono infectado responde a una de estas llamadas, los delincuentes pueden escuchar todo lo que ocurre cerca del aparato infectado, incluso las charlas de su dueño. Además, este troyano muestra interés por los SMS, la información de llamadas y las coordenadas GPS del dispositivo. Todos estos datos también los envía al servidor remoto del delincuente.

Si Nickspy tiene raíces chinas, Antammi (Trojan-Spy.AndroidOS.Antammi) fue creado por autores de virus rusos. El troyano Antammi se camufla bajo las funciones legítimas de una aplicación para cargar ringtones. Puede robar prácticamente todos los datos personales del usuario: contactos, archivo de SMS, coordenadas GPS, fotografías, etc. Más adelante envia por correo electrónico a los ciberdelincuentes un registro de sus actividades y carga los datos secuestrados en su servidor.

En esta sección quisiéramos recordar otra historia sensacional. A mediados de noviembre el investigador y blogger Trevor Eckhart, basándose en documentos de acceso libre, publicó un mensaje donde afirmaba que algunos operadores de telefonía móvil en EE.UU., lo mismo que algunos fabricantes de smartphones, preinstalaban en ciertos dispositivos móviles vendidos en EE.UU. un software desarrollado por la compañía CarrierIQ. Este software recopila diferentes tipos de información sobre el smartphone, su funcionamiento y también puede guardar datos sobre qué teclas pulsó el usuario y qué URLs visitó. En otras palabras, el programa de CarrierIQ recopila una gran cantidad de información personal del dueño del smartphone.

Bajo la atenta mirada de los investigadores y los medios de comunicación masiva se encontraban los smartphones con Android, en particular los fabricados por HTC. También se informaba que los smartphones Blackberry y Nokia admitían el software de CarrierIQ, pero ambas compañías declararon oficialmente que nunca habían preinstalado este software en sus dispositivos. En lo que concierne a Apple, esta compañía declaró lo contrario. El programa de CarrierIQ se preinstalaba en los dispositivos fabricados por la compañía, pero con el lanzamiento de iOS 5 ya no se usa en todos los dispositivos, a excepción de iPhone 4. En noviembre de 2011 el software de CarrierIQ seguía instalado en los dispositivos de los usuarios de iPhone 4, incluso después de pasar a iOS 5, pero según las declaraciones de Apple, se lo eliminaría en las consecuentes actualizaciones.

Después de que la historia resonó en los medios, la compañía CarrierIQ hizo una declaración. En ella explicaba para qué su software recopila información no sólo sobre el dispositivo y su funcionamiento (por ejemplo, sobre el acumulador y su carga, sobre la presencia de conexión Wi-Fi) sino también sobre las teclas pulsadas y URLs visitadas. Según CarrierIQ, lo hace sólo para enviar al operador de telefonía información de diagnóstico. En otras palabras, este programa envía datos, por ejemplo, sobre que el usuario tiene problemas de acceso a Facebook, pero no envía el contenido de Facebook. La compañía también declaró que los datos se envían directamente a los operadores de telefonía, que son sus clientes.
En esta historia no queda clara una cuestión: ¿por qué el usuario, de hecho, no tiene la posibilidad de negarse a usar este software y “ayudar en la recopilación de información de diagnóstico”?

Hoy en día el problema de la defensa de los datos personales tiene una importancia que nunca tuvo antes. Y estos descubrimiento sólo aumentan el interés hacia el tema. ¿No llevará el desarrollo de los sucesos al descubrimiento de software similar, preinstalado por otros operadores de telefonía o fabricantes de teléfonos?

En lo que concierne a los programas maliciosos usados para robar dinero, aquí los creadores de virus rusos que han empezado a usar masivamente troyanos SMS siguen a la vanguardia. Aparecen nuevos programas de afiliados que permiten generar automáticamente troyanos SMS y ofrecen conjuntos de diferentes instrumentos y medios de propagarlos (tiendas falsas de aplicaciones, códigos QR, scripts, parqueo de dominios, etc.). Un poco más adelante hablaremos sobre este problema.

Objetivo: tomar el control del dispositivo

El malware cuya tarea es tomar el control del dispositivo ha recibido una gran difusión en 2011. Hoy en día, entre los programas maliciosos para Android, los backdoors están casi al nivel de los troyanos espía.

Los creadores de virus chinos están creando backdoors en cantidades industriales. Merece la pena destacar que la mayoría de estos backdoors contienen exploits cuya única tarea es secuestrar el root del dispositivo (es decir, obtener los privilegios de superusuario o la mayor cantidad de privilegios en un dispositivo dado). Esto permite al delincuente tener el acceso remoto total del smartphone. En otras palabras, una vez ocurrida la infección y lanzado el exploit, el delincuente puede hacer prácticamente todo lo que quiera con el smartphone.

Son justo los exploit-root para Android los que abrieron el camino del uso masivo de las vulnerabilidades en los sistemas operativos móviles. Lograron su mayor popularidad entre los creadores de virus chinos. Al mismo tiempo, la mayoría de los exploits son conocidos desde hace tiempo, y están destinados a versiones de Android ya obsoletas. Pero como la mayor parte de los usuarios actualiza el sistema operativo con muy poca frecuencia, entre ellos siguen abundando las víctimas potenciales para los delincuentes cibernéticos.
Quizá el ejemplo más claro (y serio por su funciones) de bacdoor sea el bot IRC Backdoor.Linux.Foncy, descubierto a principios de 2012. Este backdoor se encuentra dentro de un dropper APK (Trojan-Dropper.AndroidOS.Foncy) el cual, además del backdoor también contiene un exploit (Exploit.Linux.Lotoor.ac) que se apodera del root (raíz) del smartphone y un troyano SMS (Trojan-SMS.AndroidOS.Foncy).

El dropper copia el exploit, el bot IRC y el troyano SMS a un nuevo directorio (/data/data/com.android.bot/files), para después lanzar el root-exploit. Si el exploit funciona, a su vez lanza el backdoor, que primero instala el troyano SMS Foncy en el sistema (sobre éste hablaremos en la sección “Troyanos SMS”. Aclaramos que el backdoor tiene que instalar y lanzar el fichero APK del troyano SMS, ya que antes el dropper se ha limitado a copiar el troyano en el sistema:


Procedimiento de instalación del troyano SMS
Trojan-SMS.AndroidOS.Foncy

El backdoor, después de lanzar el troyano SMS trata de conectarse con un servidor IRC remoto en el canal #andros, usando un nombre de usuario aleatorio. Después, puede aceptar cualquier tipo de instrucciones shell enviadas por este servidor y ejecutarlas en el equipo infectado.

Software malicioso en Android Market

Otro dolor de cabeza en 2011 fueron los programas maliciosos en la tienda oficial de aplicaciones de Android. El primer caso de aparición de software malicioso en Android Market se registró a principios de marzo de 2011, y a partir de entonces el malware empezó a aparecer en Android Market con una regularidad envidiable. La popularidad de Android, lo sencillo que es escribir software, la posibilidad de difundirlo mediante una fuente oficial, así como la poca efectividad de analizar las nuevas aplicaciones en busca de malware le jugaron una broma pesada a Google. Los delincuentes no despreciaron la oportunidad de aprovechar todos estos factores y como resultado el malware se propagó mediante Android Market no durante horas o días, sino a lo largo de semanas y meses, lo que provocó una gran cantidad de infecciones.

Troyanos SMS

En 2011 el carácter del desarrollo del malware más popular en el mundo de los dispositivos móviles sufrió ciertos cambios. En primer lugar, los troyanos SMS dejaron de ser un problema que afecta sólo a los usuarios de habla rusa. En segundo lugar, los ataques contra los usuarios rusos se han convertido en masivos. En tercer lugar, la plataforma J2ME ha dejado de ser el principal territorio vital de los troyanos SMS.

Durante el primer trimestre de 2011 los troyanos SMS siguieron predominando entre el resto de malware móvil. Y sólo a finales de año la diferencia empezó a disminuir, sobre todo por la actividad sin precedentes de los escritores de virus chinos que crean backdoors y troyanos espía.

El principio de 2011 sorprendió a muchos usuarios de dispositivos móviles por los regulares envíos de spam que anunciaban que habían recibido un regalo MMS de una tal Katia. Y, como era de esperar, se proponía al usuario seguir un enlace para descargar el regalo. Tampoco era una sorpresa que el fichero JAR al que conducía el enlace en realidad era un troyano SMS. Prácticamente en todos los envíos masivos que hemos detectado los programas maliciosos pertenecían a la familia Trojan-SMS.J2ME.Smmer. Estos troyanos tienen funciones bastante primitivas, pero si consideramos las dimensiones y la regularidad de sus envíos masivos, su simplicidad no les ha impedido a los delincuentes infectar una gran cantidad de dispositivos móviles. Por sus dimensiones, estos envíos masivos superaban a todos los anteriores. Los teléfonos celulares de decenas de miles de usuarios estaban bajo riesgo constante de infección.

En 2008, 2009 y 2010 la principal plataforma para los troyanos SMS era J2ME. En 2011 hubo cambios, y ahora los troyanos SMS para Android empiezan a ganar cada vez más popularidad. En esencia, casi no se diferencian de sus congéneres para J2ME. Los medios de camuflaje son similares, por lo general, simulan ser aplicaciones legales, por ejemplo de Opera o JIMM. Y se propagan de la misma manera que los troyanos J2ME, sobre todo mediante los programas de afiliados, con la particularidad de que un sólo programa de afiliados se especializa tanto en malware para J2ME y para Android.

Antes de 2011 la mayoría de los troyanos SMS estaba dirigida a los usuarios de Rusia, Ucrania y Kazajstán. Pero en 2011 los creadores chinos de virus también empezaron a crear y propagar activamente troyanos SMS. Pero los programas maliciosos que solo tienen funciones de troyanos SMS no se hicieron muy populares entre los creadores chinos de virus. La función de envío de SMS a números de pago es secundaria respecto al resto de funciones de los programas maliciosos chinos.

También se registraron los primeros ataques dirigidos a usuarios de Europa y Norteamérica. Uno de los pioneros fue el troyano GGTracker, que apuntaba a los usuarios de EE.UU. La aplicación se disfrazaba de utilidad para reducir el consumo de la batería del smartphone, pero en realidad daba de alta al usuario a un servicio SMS de pago.

Otro brillante ejemplo es la familia de troyanos SMS Foncy. A pesar de sus primitivas funcionalidades, Foncy fue el primer programa malicioso que tuvo en la mira a los usuarios de Europa Occidental y Canadá. Sus modificaciones más tardías no solo atacaban a los usuarios de estos países, sino también a los de EE.UU., Sierra Leona y Marruecos. Algunos indicios nos permiten suponer que los autores de este programa malicioso no se encuentran en Rusia.

El troyano Foncy tiene dos peculiaridades específicas. En primer lugar, es “internacional”. El malware es capaz de determinar a qué país pertenece el chip SIM del dispositivo infectado y de acuerdo con esta información cambiar el código y el número al que se envía el mensaje SMS.


Lista incompleta de los números cortos de diferentes países en
el cuerpo del troyano Foncy

En segundo lugar, el troyano envía un informe a los delincuentes sobre el trabajo efectuado. Como regla, el troyano, sin que el usuario se dé cuenta, envía mensajes SMS a un número premium para pagar diferentes tipos de servicio. Puede tratarse de acceso al contenido de un sitio o un archivo, la suscripción a envíos desde el sitio, etc. Como respuesta llega un mensaje SMS de confirmación del pago, que el programa malicioso oculta al usuario. Foncy envía el texto de confirmación y los números cortos desde donde llegan a sus dueños. Al principio, esta información simplemente se enviaba en un SMS al número de los delincuentes. Las posteriores modificaciones del troyano las enviaban directamente a su servidor.


Procedimiento de envío de determinados mensajes SMS

Es evidente que de esta manera los delincuentes reciben información sobre la cantidad de SMS de pago enviados y la cantidad de dispositivos infectados por Foncy.

Man-in-the-M(iddle)obile

El primer ataque mediante la técnica Man-in-the-Mobile tuvo lugar en 2010. Sin embargo, estos ataques se desarrollaron sobre todo en 2011, cuando aparecieron versiones de los programas maliciosos ZitMo y SpitMo para diferentes plataformas (ZitMo para Windows Mobile, ZitMo y SpitMo para Android) y los delincuentes poco a poco fueron perfeccionando las funcionalidades de los programas maliciosos.

Los troyanos ZitMo (ZeuS-in-the-Mobile) y SpitMo (ZeuS-in-the-Mobile), que funcionaban en conjunción con los ZeuS y SpyEye normales, son unos de los programas maliciosos más complejos detectados en estos últimos tiempos. Sus peculiaridades:

  • Funcionamiento “en pareja”. En sí, ZitMo o SpitMo son programas espía comunes y corrientes, capaces de enviar mensajes SMS. Sin embargo su uso conjunto con el ZeuS “clásico” permitió a los delincuentes romper la última línea de defensa de las transacciones bancarias, los códigos mTAN.
  • La extrema especialización de los troyanos: envío de los mensajes entrantes con mTAN a los delincuentes o al servidor, que después son se usan para confirmar operaciones financieras hechas desde cuentas bancarias secuestradas.
  • Funcionamiento en diferentes plataformas. Se han descubierto versiones de ZitMo para Symbian, Windows Mobile, Blackberry y Android; SpitMo para Symbian y Android

Tal vez, entre los sucesos más importantes merece la pena destacar la confirmación de la existencia de ZitMo para Blackberry y la aparición de versiones de ZitMo y SpitMo para Android. La aparición de ZitMo y SpitMo para Android tiene particular interés porque durante bastante tiempo la plataforma móvil más popular no llamó la atención de los autores de estos programas maliciosos.

En el futuro continuarán los ataques mediante ZitMo (o programas con similares funciones), de una forma u otra dirigidos al robo de códigos mTAN (y quizá otro tipo de información secreta enviada por SMS). Sin embargo, lo más probable es que estos ataques sean estrictamente locales, con una pequeña cantidad de víctimas.

Códigos QR: una nueva forma de propagar amenazas

Los códigos QR son cada vez más frecuentes y ampliamente usados en avisos, carteles y otros medios para brindar una rápido y fácil acceso a determinada información. Es por ello que los primeros ataques con códigos QR no sorprendieron del todo.

Hoy, los usuarios de smartphones suelen buscar software para sus aparatos mediante un ordenador común. En estos casos, el usuario ingresa manualmente una URL en el navegador de su dispositivo móvil. Esto puede resulta incómodo, por lo que los sitios web que ofrecen aplicaciones para smartphones suelen recurrir a los códigos QR.

Muchos programas maliciosos para dispositivos móviles (especialmente troyanos SMS), son muy comunes en sitios web en los que todo el software es malicioso. En estos sitios, además de los enlaces directos hacia las amenazas, los ciberdelincuentes también han comenzado a usar códigos QR maliciosos con un enlace codificado hacia programas maliciosos.

Los primeros en usar esta tecnología fueron ciberdelincuentes rusos que ocultaron troyanos SMS para Android y J2ME en códigos QR.


Ejemplo de un código QR malicioso

Por fortuna, los ataques con códigos QR todavía son poco frecuentes. Sin embargo, la creciente popularidad de esta tecnología entre los usuarios significa que es probable que también lo sea entre los ciberdelincuentes. Además, no sólo los autores (o grupos de autores) de virus recurren a los códigos QR, sino que se están popularizando entre los notorios, por desgracia, programas afiliados, que en breve se encargarán de que lo sean entre los coberdelincuentes.

Hacktivismo móvil: el principio

Durante todo 2011, Kaspersky Lab observó un repentino aumento en la actividad informática de usuarios maliciosos sin fines de lucro, pero cuyo propósito era protestar o incluso vengarse de políticos, agencias gubernamentales, grandes corporaciones y gobiernos. Los hackers con motivaciones políticas han penetrado incluso en los sistemas más seguros y han sacado a la luz cientos de miles de datos de personas en todo el mundo. Incluso los sistemas tecnológicamente más avanzados han sido víctimas de ataques DDoS lanzados desde grandes redes zombi de hacktivistas.

El hacktivismo también incluye programas maliciosos diseñados con claros fines políticos. Este tipo de programas maliciosos se ha hecho presente en el mundo de los móviles.

Las amenazas que Kaspersky Lab ha detectado, como Trojan-SMS.AndroidOS.Arspam, están dirigidas contra usuarios en países árabes. Esta aplicación “troyanizada” se propagó en los foros de habla árabe. La principal función de este troyano es enviar mensajes de texto con un enlace a un foro dedicado a Mohamed Bouazizi para seleccionar aleatoriamente contactos en el dispositivo infectado. (Mohamed Bouazizi se inmoló en Túnez, dando inicio con esta acción a lo que luego fue una revolución).

Además, Arspam también busca determinar el código ISO del país en el que se usa el Smartphone atacado. Si el código es BN (Bahrain), entonces el programa malicioso procede a descargar un PDF con un informe sobre la Comisión de investigación independiente de Bahrain (BICI, en inglés) sobre los derechos humanos.

Hasta este momento, aparece como el único caso de hacktivismo móvil, pero es probable que encontremos otros en 2012.

Conclusión

Para resumir el año pasado, podemos indicar sin lugar a dudas que fue uno de los más críticos en cuanto a la evolución de amenazas pára dispositivos móviles. En primer lugar, esto se debió al crceimeinto sostenido de la cantidad de programas maliciosos dirigidos contra dispositivos móviles. En segundo lugar, porque los usuarios maliciosos apuntaron a Android como su blanco favorito. Finalmente, porque 2011 fue el año en que los usuarios maliciosos prácticamente automatizaron la producción y proliferación de las amenazas móviles.

¿Qué nos depara 2012? En pocas palabras, esto:

  • Seguirá creciendo el interés en Android entre los autores de virus, cuyos esfuerzos se centrarán en crear programas maliciosos dirigidos contra esta platafroma, en particular.
  • Un incremento en la cantidad de ataques con vulnerabilidades. Hoy en día, los exploits se usan sólo para acceder al sistema de un smarphone, pero en 2012 esperamos los primeros ataques que usen vulnerabilidades para infectar el sistema operativo móvil.
  • Un aumento en la cantidad de incidentes con programas maliciosos que afecten a tiendas oficiales de aplicaciones, particularmente Andoird Market.
  • Los primeros gusanos masivos para Android.
  • La propagación del espionaje móvil.

Virología móvil, V parte

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada