G Data Informe de malware. Informe bianual Julio diciembre de 2011

Transcripción

1 G Data Informe de malware Informe bianual Julio diciembre de 2011 G Data SecurityLabs Go safe. Go safer. G Data.

2 Contenido Aspectos generales... 2 Malware: cifras y datos... 3 Cifras millonarias de malware... 3 Categorías de malware... 3 Familias de malware... 4 Plataformas: Windows, principal objetivo; y plataformas móviles en la diana... 7 Monitorización de riesgos... 9 Análisis de sitios web Clasificación por asunto Clasificación por emplazamiento del servidor Phishing Banca online Malware móvil Copyright 2011 G Data Software AG 1

3 Aspectos generales En 2011 se observaron más de 2,57 millones de cepas de malware, un incremento del 23% respecto al año anterior. Se registró una disminución en el número de nuevos rootkits, mientras que los programas espía y adware aumentaron en gran medida. La cantidad de nuevo malware para dispositivos móviles creció por encima del 1.000% en tan solo un año. El malware para Android se está ahora expandiendo por todo el mundo y se ha convertido en una amenaza mundial gracias a las diferentes localizaciones. Los ataques de phishing se dirigieron (y aún se centran) en los beneficios económicos que pueden ofrecer. Cerca de un 60% de los sitios web de phishing fueron diseñados para simular los sitios genuinos de diferentes instituciones financieras. Torpig, SpyEye y ZeuS fueron los troyanos más activos en el sector bancario. Hitos Aparición de la herramienta espía DuQu. Su objetivo es recopilar la mayor cantidad posible de datos y preparar ataques como los del malware Stuxnet. Los grupos de hacktivistas como Anonymous han protagonizado ciberataques dirigidos contra compañías, organizaciones y personas específicas. Panorama para la primera mitad de El malware para Android aumentará y se hará técnicamente más avanzado. Se realizarán más ataques dirigidos a objetivos específicos. Los ciberelincuentes se centrarán en eventos importantes como, por ejemplo, la Eurocopa de fútbol. Los troyanos es especializan en el sector bancario y se incrementará su actividad como herramienta para estafar a los usuarios de los servicios de banca online. 1 Para más información, consulte el informe sobre "Tendencias para 2012" de G Data Copyright 2011 G Data Software AG 2

4 Malware: datos y cifras Cifras millonarias de malware En el periodo de julio a diciembre de 2011, G Data Security Labs registró una media de nuevas cepas de malware al día, hasta alcanzar un total de tipos diferentes de amenazas, un 6,8% más que en los seis primeros meses del año. Respecto a 2010, la cantidad de nuevas cepas de malware aumentó en un 23,1% en Gráfico 1: Número de nuevos programas de malware al año, desde 2006 Categorías de malware Los programas de malware se pueden agrupar en categorías según sus actividades. El gráfico 2 muestra las categorías más importantes y su evolución durante los últimos cuatro semestres. La categoría de spyware experimentó el mayor incremento, ya que la cantidad de este tipo de malware ha aumentado un 52% en los últimos seis meses, registrando un incremento del 20% durante los dos últimos años. En este mismo período, los troyanos también aumentaron un 40%, aunque esta tendencia ha perdido cierta fuerza en el último semestre, retrocediendo al 6%. La tasa de software diseñado para mostrar anuncios no autorizados (adware) ha aumentado sistemáticamente a lo largo de los últimos años. Durante la segunda mitad de 2011, este tipo de malware aumentó un 18,5% y, en el período de 2010 a 2011, creció un asombroso 25,4% 2. Sin embargo, se ha observado una disminución en el número de rootkits - unas herramientas utilizadas para ocultar el malware como, por ejemplo, puertas traseras (backdoors) o programas espía, de forma que las herramientas del sistema y el software antivirus no puedan encontrarlos. Estos malware disminuyeron un 10% en la última mitad de año. En el período , esta cantidad disminuyó hasta un 43%. Aunque se observaron menos nuevas variantes de rootkits, aún 2 Para más información sobre ataques de adware interceptados, consulte el capítulo sobre Monitorización de Riesgos Copyright 2011 G Data Software AG 3

5 forman una parte importante de la estrategia de autodefensa de los programas de malware. El número de descargadores (downloaders) también ha disminuido. A lo largo de los últimos seis meses, incluso ha retrocedido un 18% (9% a lo largo de los últimos dos años). Asimismo, se estima que la cantidad decreciente de nuevas instancias de malware de explotación incrementará de forma efectiva la protección del software. Lo ideal es cerrar los vacíos existentes rápidamente, evitarlos durante la programación o eliminarlos en el proceso de garantía de calidad antes de la comercialización del producto. Por esta razón, cada vez se ofrecen menos oportunidades para los ataques. Asimismo, los atacantes sólo necesitan una única vulnerabilidad para dañar un ordenador. En CVE se describe una vulnerabilidad que aún es muy popular y que todavía se utiliza para los ataques. Gráfico 2: Número de nuevos programas de malware por categoría en los últimos semestres Familias de malware El malware se agrupa en familias basándose en sus propiedades y en sus actividades. En 2011, el malware podía agruparse en un total de familias diferentes, un 7,7% más que en años anteriores. Algunas familias son muy productivas y producen nuevas variantes constantemente a 3 Ver el capítulo sobre Monitorización de Riesgos Copyright 2011 G Data Software AG 4

6 lo largo de 2011 se observaron casi 2,6 millones 4. La tabla que se muestra a continuación describe las 10 familias más productivas de malware para las que se crearon nuevas firmas de virus. Clasificación Familia Categoría Cuota Dif. frente a primer semestre de Genome Troyano 8,5% ±0 Los troyanos de la familia Genome se han mantenido en el primer puesto, muy por delante del resto, e incluyen funciones como descargadores, registradores de teclado y cifrado de archivos. VBKrypt Troyano 3,7% +1 VBKrypt es una herramienta utilizada para ocultar archivos maliciosos. Las rutinas de camuflaje se han escrito en Visual Basic y los contenidos de los archivos ocultos son muy diversos y oscilan desde descargadores y puertas traseras a spyware y gusanos. Esta familia ha perdido 0,9% de su cuota en comparación con el último semestre pero, así y todo, ha subido una posición. Diple Troyano 3,5% +14 Durante la segunda mitad de 2011, las variantes de la familia Diple aumentaron su cuota un 2,4%. Las variantes de Diple permiten controlar el ordenador de forma remota y contactar con los servidores de control. De esta forma, es posible cargar otro malware posteriormente, incluyendo spyware y falsos antivirus Menti Troyano 2,7% +5 El troyano Menti se incorpora a un sistema atacado y realiza contactos habituales con un servidor. De esta forma, el ordenador se convierte en parte de un botnet. Con un incremento del 1,2%, Menti ha subido 5 posiciones. OnLineGames Spyware 2,4% +2 Los miembros de la familia OnLineGames se encargan principalmente de robar datos de acceso a juegos. Para lograr este fin, realizan búsquedas en varios archivos y en entradas de registros y/o se instalan programas para transmitir las teclas pulsadas. En este último caso, no sólo se roban los datos de los juegos, sino también otro tipo de información confidencial. La mayoría de los ataques se centran en juegos populares en Asia. Durante los últimos seis meses, su cuota ha aumentado un 0,7%, haciendo que esta familia suba dos puestos en la clasificación. Buzus Troyano 2,0% ±0 Los troyanos de la familia Buzus exploran los sistemas infectados de sus víctimas buscando datos personales (tarjetas de crédito, banca online, accesos de correo electrónico y FTP), para transferir posteriormente dicha información al atacante. El malware también intenta disminuir la configuración de seguridad del equipo para facilitar aún más los ataques en el equipo de la víctima. FakeAV Troyano 2,0% -5 Ese troyano pretende ser un software antivirus u otro programa relacionado con la seguridad. Simula el descubrimiento de múltiples riesgos a la seguridad o infecciones maliciosas en el sistema del usuario, e intenta engañarle para que pague por un software que limpie el PC. La cuota de las nuevas variantes de esta familia ha descendido un 3,3% y, como resultado de ello, ha pasado desde la 2ª posición al 7º puesto de la clasificación. Llac Troyano 1,8% +19 El troyano Llac permite acceso remoto no autorizado a un ordenador y facilita la ejecución de cualquier software para, por ejemplo, apoderarse de datos o enviar spam. El número de variantes ha aumentado un 1.0%, lo que ha hecho que esta familia suba 20 lugares en la clasificación. 4 Ver Grafico 1 Copyright 2011 G Data Software AG 5

7 9 Adload Descargador 1,7% +17 Las variantes de la familia Adload carga archivos desde un servidor externo (por ejemplo, dollarrevenue.com) y los ejecuta posteriormente. Como los archivos maliciosos se almacenan en un servidor externo, sus funciones maliciosas pueden variar. La mayoría de ellos son adware o spyware. La cantidad de variantes de Adload ha aumentado un 0,9%, haciendo que pueda alcanzar un puesto en las 10 primeras posiciones. Shiz Puerta trasera 1,6% +67 Las variantes de Shiz han hecho su debut en las 10 primeras posiciones. Se inyectan en el proceso del 10 sistema services.exe para que se ejecute en el contexto de los servicios del sistema, haciéndolo casi imposible de detectar con las herramientas estándar habituales. Además de esto, abren una puerta trasera en el PC que puede ser utilizada para cargar spyware y otro malware. Tabla 1: las 10 familias de malware más productivas en la segunda mitad de 2011 Copyright 2011 G Data Software AG 6

8 Plataformas: Windows, principal objetivo; y plataformas móviles en la diana Salvo algunas excepciones, el malware se elabora para plataformas específicas. Durante años, la mayoría del malware se ha elaborado para Windows, y esta tendencia no ha cambiado en el semestre que ahora analizamos. Dos plataformas de la tabla 2 han sido diseñadas para sistemas operativos Windows: Win incluye código malicioso que funciona con las variantes de 32-bit y de 64- bit de Windows. Por su parte, MSIL es el nivel intermedio para el código malicioso.net que, en principio, no sólo funciona en sistemas Windows, sino también en otras plataformas. Sin embargo, en la práctica este potencial raramente se explota. Si se combinan estos dos grupos, obtenemos una cuota del 99,6% para Windows, lo que significa un aumento del 0,1% desde la primera mitad de Con un 0,2%, WebScripts constituye la cuota más alta del 0,4% restante, aunque la cantidad de este malware ha disminuido un 23,1%. WebScripts forma la base para el suministro de código malicioso a través de sitios web. La menor productividad no es, sin embargo, indicación de una disminución en el uso de código malicioso en los sitios web. El malware para smartphones (Móvil) ha avanzado una posición. En especial, el número de cepas de malware para dispositivos de Android ha aumentado más de ocho veces, mientras que el malware para otras plataformas como J2ME, SymbianOS y WinCE, se ha convertido en algo menos habitual. En general, el número de cepas de malware para dispositivos móviles ha aumentado 2,5 veces. Si lo comparamos con las cifras de 2010, el nuevo malware para plataformas móviles se ha incrementado hasta diez veces de forma interanual (+949%). Otras plataformas como las versiones de Unix (Linux, BSD etc.), Java y el malware elaborado en lenguajes de scripting se han convertido en fenómenos menos habituales en la última mitad del año. Los valores particulares para cada plataforma aparecen en la tabla 2. Segundo semestre de 2011 Primer semestre de 2011 Diferencia entre segundo semestre y primer semestre de 2011 Plataforma Cuota Cuota 1 Win ,2% ,8% +7,2% 2 MSIL ,4% ,7% -12,8% 3 WebScripts ,2% ,3% -23,1% 4 Mobile ,2% 803 0,1% +148,8% 5 Scripts <0,1% 832 0,1% -24,8% 6 Java 244 <0,1% 313 <0,1% -22,0% 7 *ix 6 34 <0,1% 233 <0,1% -85,4% 8 NSIS 7 62 <0,1% 131 <0,1% -52,7% Tabla 2: Principales 8 plataformas en los dos últimos semestres 5 "Scripts" son scripts o programas en lotes o en shell elaborados en lenguajes de scripting VBS, Perl, Python o Ruby. 6 *ix es el acrónimo de todos los derivados de Unix -. Linux, FreeBSD, Solaris etc. 7 NSIS es la plataforma de instalación utilizada para instalar el reproductor de medios Winamp, etc. Copyright 2011 G Data Software AG 7

9 Monitorización de riesgos La cantidad de nuevos programas de malware no fue lo único que alcanzó unas cifras récord en 2011, porque también la cantidad de ataques frustrados por las soluciones de seguridad de G Data registró un aumento mes a mes. La clasificación de los ataques contra usuarios de ordenadores con MII 8 activado muestra la siguiente distribución en el segundo semestre del año: Clasificación Nombre Porcentaje 1 Exploit.CplLnk.Gen 1,08% 2 Trojan.Wimad.Gen.1 0,91% 3 Java.Exploit.CVE E 0,90% 4 Worm.Autorun.VHG 0,87% 5 Trojan.AutorunINF.Gen 0,82% 6 Generic.Adware.Adseo B 0,69% 7 Gen:Variant.Adware.Hotbar.1 0,54% 8 Java.Trojan.Downloader.OpenConnection.AI 0,46% 9 Java.Trojan.Exploit.Bytverify.Q 0,36% 10 Adware.Agent.NGZ 0,35% Tabla 3: Principales 10 malware en el segundo semestre de 2011 Exploit.CplLnk.Gen es una exploit que ya se utilizó en combinación con Stuxnet 9 y que aún es muy utilizado por los ciberdelincuentes. Como este ataque funciona en cualquier versión del sistema operativo Windows y no se centra en un software en particular, sino en el mismo sistema operativo, el número potencial de víctimas es naturalmente mayor y, por lo tanto, muy provechosos para los atacantes. Esto explica que no sorprenda ver que se sitúe como el ataque más repetido en las clasificaciones semestrales. El malware que intenta aprovechar la función Autoplay en PCs con Windows ha aparecido en los puestos 4º y 5º de las clasificaciones semestrales. En su sitio web, Microsoft afirma que "el principal objetivo de Autoplay es ofrecer una respuesta de software a las acciones del hardware iniciadas por el usuario en la máquina" 10. Un uso generalizado de esta función se encuentra, por ejemplo, cuando se inserta una memoria USB en un ordenador para que el pendrive se cargue inmediatamente, ejecutando de forma automática cualquier rutina de programa almacenada en dicho dispositivo. Para evitar que un código malicioso explote esta capacidad de ejecución automática, esta función debería encontrarse deshabilitada por defecto en el sistema operativo. También es destacable que encontremos adware en tres de los diez primeros lugares de la clasificación. Podemos observar importantes fluctuaciones en la cuota de ataques de adware claramente identificables en la segunda mitad de año 11. Sin embargo, y a pesar de todo, estas 8 El Malware Information Initiative (MII) se basa en el poder de la comunidad online y en cualquier cliente que adquiera soluciones de seguridad de G Data para participar en esta iniciativa. El requisito previo es que los clientes deben activar esta función en su solución de seguridad de G Data. Si se hace frente a un malware informático, se envía a G Data Security Labs. G Data Security Labs un informe completamente anónimo sobre este evento, para recopilar y valorar estadísticamente los datos sobre el malware Ver figura 3 Copyright 2011 G Data Software AG 8

10 amenazas ocupan tres de los primeros diez lugares, ya que una gran cantidad de ataques se registraron en agosto, septiembre y octubre en particular. En contraste a esto, el número de adware recién creado aumentó continuamente durante la segunda mitad de Todo esto indica que el modelo de negocio de los ciberdelincuentes es aún rentable y lucrativo. Gráfico 3: cuota de programas potencialmente indeseados (PUP) y su cuota de adware detectados por el Malware Information Initiative Un ataque sobre una vulnerabilidad en particular ha aparecido durante mucho tiempo entre los ataques detectados con mayor frecuencia: el CVE es aún una vulnerabilidad que se ataca muy a menudo. En este período de seis meses, hay dos malware relacionados con esta amenaza: el Java.Exploit.CVE E y el Java.Trojan.Downloader.OpenConnection.AI. Los atacantes aún utilizan la vulnerabilidad descrita en CVE porque muchos usuarios de ordenadores muestran cierto descuido a la hora de actualizar sus equipos, por lo que este ataque sigue causando grandes daños. Muchos usuarios no se preocupan de actualizar los equipos o no conocen los requisitos específicos de ciertas actualizaciones de programas 14. Oracle ya ha cerrado en marzo de 2010 esta vulnerabilidad anteriormente mencionada en Java. 12 Ver figura Copyright 2011 G Data Software AG 9

11 Análisis de sitios web Internet es la principal puerta de acceso para los fraudes mediante malware y phishing. Al mismo tiempo, ese medio está incrementando su importancia para la sociedad en general. No solo se utiliza para acceder a la información, para participar en juegos, para usar servicios de correo electrónico o redes sociales o para visitar portales de video o archivos de web, sino también se utiliza diariamente para hacer negocios o para fines administrativos. Todo ello justifica un análisis detallado de las áreas que se han convertido en objetivo de los ataques en el último semestre. Copyright 2011 G Data Software AG 10

12 Clasificación por asunto Una clasificación en función del contenido de los sitios web infectados 15 en el segundo semestre de 2011 muestra que los dominios con ciertos asuntos parecen ser más atractivos que otros y por tanto, también sufren una mayor cantidad de ataques. En el registro total no se distingue entre dominios establecidos específicamente para estos ataques y los sitios legítimos que fueron manipulados. Los primeros cinco puestos de esta clasificación del segundo semestre de 2011 representan más de la mitad de todos los dominios clasificados. En primera posición aparece la tecnología y la telecomunicación, que incluye sitios web con contenidos relacionados con Internet, tecnologías de la información y telecomunicaciones. En tercer lugar aparece la pornografía, un tema generalmente de dudosa reputación. Sin embargo, análisis anteriores de G Data han mostrado que no existe necesariamente una conexión entre los sitios web con contenido pornográfico y las infecciones de malware, y que algunos usuarios de Internet ya han llegado a reconocer esta correlación 16. Tecnología y telecomunicación 16.2% Negocios 11.3% Pornografía 10.5% Compras 8.2% Servicios de intercambio de archivos 7.1% Ocio 5.2% Salud 44.1% Blog 3.7% Viajes 3,5% Juegos 3.3% 3 Gráfico 4: Categorización de sitios web maliciosos por asuntos, segundo semestre de 2011 Basándonos en la experiencia, no resulta sorprendente encontrar sitios web relacionados con distribución de archivos y redes P2P en unas posiciones tan altas en la clasificación. Una gran proporción de código malicioso se propaga con la distribución - a menudo ilegal - de archivos protegidos por derechos de autor. Existe probablemente una razón por la que la categoría de ocio y 15 En este contexto, entre los sitios web malicioso se incluyen los sitios de phising y los de malware 16 Cf. G Data Security, Cómo perciben los usuarios los peligros de Internet? (2011) Copyright 2011 G Data Software AG 11

13 entretenimiento, que ocupa la 6ª posición, se encuentre relacionada con la categoría que se encuentra en 5º puesto porque, después de todo, los usuarios comparten contenidos de portales de entretenimiento, incluyendo música, películas y conciertos, además de noticias sobre las estrellas del espectáculo. La categoría de blogs, en 8 ª posición, contiene listas de cualquier tipo. Como este tipo especial de sitios web tiene una gran parte de contenidos basados en el usuario son más propensos al abuso por parte de los ciberdelincuentes. Y, de igual forma, las bitácoras privadas no contienen a menudo la seguridad apropiada o no están actualizadas técnicamente. De esta forma, se permite a los atacantes incorporar su contenido malicioso de forma visible o invisible para dañar a los visitantes del blog infectado. Conclusión El peligro se camufla en cualquier website y puede afectar a cualquier internauta. Los ciberdelincuentes no se centran principalmente en determinados sitios web, sino en intentar llegar a la mayor cantidad posible de visitantes con el menos esfuerzo posible. Todo depende de la protección del sitio y servidor web. Y no se trata de hacer generalizaciones ya que no podemos afirmar que un tema en especial sea mucho más propenso a sufrir un ataque que otro. Si por ejemplo hay una vulnerabilidad en un sistema de gestión de contenidos, en un plug-in o en un programa, significa que cualquier servidor web con estas características corre un riesgo potencial, independientemente del contenido del sitio web. Por lo tanto, es posible que luego se produzca un ataque masivo y la propagación de toolkits maliciosos para explotación de webs, siendo ésta una consecuencia a menudo desafortunada, tal y como ocurrió con el ataque de Lizamoon 17 o de TimThumb en Aparte de esto, un asunto popular con un elevado número potencial de visitantes resulta, obviamente, un objetivo más atractivo Copyright 2011 G Data Software AG 12

14 Clasificación por emplazamiento del servidor También resulta interesante examinar la distribución local de los sitios web maliciosos. El mapa de la Error! No se encuentra el origen de la referencia. muestra la cantidad de sitios web maliciosos hospedados en los diferentes países. Esto indica que los países más involucrados son los que ofrecen hospedaje barato, además de una infraestructura digital avanzada. Por lo tanto, no resulta sorprendente que grandes partes de África no hospeden ninguno o muy pocos dominios maliciosos en servidores locales. Amplios países como Rusia compensan sus enormes zonas despobladas con grandes capacidades digitales en áreas metropolitanas y en grandes ciudades. Otro aspecto que debemos tener en consideración es que la legislación sobre Internet también varía entre países. Esto convierte a algunos países en más atractivos a los ciberdelincuentes que otros. Un delito potencial puede ser tratado como ilegal en un país, aunque podría ser tolerado como legal en otro. A menudo se ha afirmado que Internet no debe permitirse como un lugar para realizar actividades ilegales pero, a fecha de hoy, aún no hay legislación mundial y uniforme vigente. Diferentes territorios tienen sus áreas de responsabilidad y la colaboración entre países puede ser un proceso difícil, debido en parte a la dificultad para determinar una "escena del crimen" y la jurisdicción que rige dicho delito. Sin embargo, el principal criterio para la selección de la localización de un sitio web es el coste anteriormente mencionado, ya que los ciberdelincuentes desean naturalmente maximizar sus beneficios, ya sea con sus actividades de phishing o con la distribución de código malicioso. Emplazamientos menos populares de servidores Gráfico 5: Países que hospedan la mayor cantidad de sitios web maliciosos Emplazamientos populares de servidores Copyright 2011 G Data Software AG 13

15 Phishing Gráfico 6: Websites de phishing en función del contenido En las bases de datos de G Data Security Labs nos centramos específicamente en los sitios web de phising y en la información sobre sitios web para su análisis posterior. Esto ofrece como resultado la siguiente distribución de asuntos en Un ejemplo de escenario: los delincuentes reproducen la página de acceso original de un banco, una red social o de juegos, y utilizan su propio servidor para poner dicha copia online. Las direcciones URL se eligen a menudo para que casi sea imposible distinguirlas tipográficamente de las originales. A continuación, los delincuentes interceptan los datos de acceso en cuanto la víctima los proporciona en una de estas páginas falsas. Durante la segunda mitad de 2011, las instituciones bancarias y financieras ocuparon la primera posición, muy por delante de las otras categorías. Más del 60% de todos los sitios web analizados se encontraban en esta categoría. Las páginas web falsas de acceso de PayPal y del Banco de Santander fueron utilizadas a menudo como trampas. El objetivo de los delincuentes es apoderarse de los datos de acceso (nombre y contraseña) y utilizar dicha información para robar dinero y para cometer otros fraudes. Con iguales cuotas, las categorías de redes sociales, chats y correo electrónico y juegos ocuparon el segundo y el tercer puesto. Los datos de acceso de estas dos categorías pueden venderse fácilmente en el mercado negro. El valor de las cuentas de juegos online como, por ejemplo, World of Warcraft depende del nivel y del equipo del personaje del juego, pero también se venden piezas del equipo y monedas virtuales. Copyright 2011 G Data Software AG 14

16 Captura de pantalla 1: la cuenta más cara de WoW en estos momentos se ofrece a la venta en una plataforma más o menos legal. Estas cifras ilustran incluso con más claridad por qué los ciberdelincuentes se centran en los juegos. Los días en los que todo era diversión, píxeles y monedas de oro virtuales hace tiempo que dejaron de existir. Ahora, el valor del dinero real no debe ser infravalorado. Además de vender datos de acceso a redes sociales, los delincuentes también abren las puertas de canales de distribución valiosos a los mensajes spam y a códigos maliciosos. Para los delincuentes, la ventaja clara es que es más probable que los usuarios de redes sociales confíen en mensajes dejados en muros y en mensajes personales de amigos para hacer clic en ellos. Con una cuota del 10%, el 4º lugar de los sitios de subastas y de compras les hizo perder por poco un lugar en el podio. Esta categoría incluye, por ejemplo, sitios de phishing dirigidos a los clientes de ebay. Si los encargados de realizar los ataques de phishing se apoderan de estos datos, pueden cambiar la información bancaria de las cuentas para objetos vendidos a sus propios datos bancarios para, de esta manera, recibir cualquier pago. Esto resulta especialmente desastroso para los suministradores comerciales que, a menudo, venden cientos de artículos al mismo tiempo. Copyright 2011 G Data Software AG 15

17 Banca online La banca online es un servicio utilizado por un número cada vez más importante de personas. A medida que aumenta su popularidad y la aceptación masiva por parte de los usuarios, los ciberdelincuentes se sienten atraídos por la posibilidad de explotar sus vulnerabilidades y obtener beneficios económicos con sus acciones. De la misma manera que aumenta el número de usuarios, también lo hace la intensidad de la actividad delictiva y el ciberdelito y, también, el grado de riesgo de los usuarios de Internet 19, tal y como afirmó la policía alemana (Federal Criminal Police Office, BKA) en su Informe Anual de Aunque la introducción del proceso itan en banca online condujo inicialmente a menos casos reportados a la policía (1.779 casos en Alemania en 2008), esta cifra ha aumentado paulatinamente desde entonces (5.331 casos en 2010). Sin embargo, se piensa que el número real es mucho mayor y la BKA estima que sólo se informa de, aproximadamente, un 40% de los casos 20. Así y todo, sólo los casos informados acumularon una estafa global cifrada en más de 21,2 millones de euros en 2010 en Alemania (a una media de por caso) frente a los 11,7 millones de Gráfico 7: Número de cuentas bancarias online en Alemania (en millones) (Fuente: Asociación Federal de Bancos Alemanes) En el pasado, los ataques de phishing bastaban para obtener los datos de acceso de los usuarios, utilizando para ello correos electrónicos y falsos aunque sofisticados websites que imitaban a los de las instituciones financieras. Después de la introducción de los TAN como capa adicional de seguridad en banca online, los estafadores tuvieron que diseñar sus ataques para obtener también dichos TAN, empleando para ello nuevas fórmulas de phishing o incluso nuevos medios técnicos era el principio de la técnica conocida como the man in the middle-. Cuando los bancos comenzaron a utilizar una nueva capa de seguridad cifrado SSL del tráfico de datos los ladrones de datos tuvieron que ponerse al día una vez más. El malware cada vez más sofisticado es ahora la herramienta preferida e indispensable. Los nuevos ataques usan troyanos diseñados especialmente para banca que permiten la manipulación de comunicaciones cifradas entrantes y salientes de los sitios web. En los casos más sencillos, el troyano muestra una ventana de información de aspecto auténtico que solicita la lista TAN completa del usuario del servicio bancario online. Pero también existen mecanismos más refinados que pueden funcionar sin que el usuario pueda detectarlos. Unos estudios recientes han mostrado que la siguiente línea de ataque para los delincuentes va a centrarse en los teléfonos móviles, ya que los bancos los están utilizando cada vez más para realizar operaciones con TAN móviles (mtan). El malware Android.Trojan.Spitmo.A es el primero que acata activamente dispositivos móviles Android para interceptar mtan. También se han observado 19 emplateid=raw,property=publicationfile.pdf/cybercrime2010.pdf 20 dito 21 dito Copyright 2011 G Data Software AG 16

18 ataques similares en teléfonos móviles con sistema operativo Symbian, afectados por el malware ZitMo (una abreviatura de ZeuS in the Mobile). Los troyanos bancarios continúan basándose en el mismo modelo de negocio. Conviven relativamente pocas familias que además de der utilizadas para estas actividades delictivas se venden a otros delincuentes (malware como un servicio). Muchos troyanos para el sector bancario también utilizan métodos especiales para evitar ser detectados por los programas antivirus. Normalmente, los usuarios adquieren software de cifrado especial y adicional para archivos binarios (crypters) para cambiarlos. Los proveedores de software antivirus se ven, por lo tanto, forzados a publicar frecuentemente actualizaciones de firmas de virus. Se ha indicado recientemente que la vida útil media de los archivos binarios de este tipo es de tan solo 27 horas y raramente superan las 72 horas 22. Como los proveedores de software antivirus raramente ofrecen actualizaciones de firmas en este escaso período de tiempo 23, los troyanos bancarios representan un grave riesgo para los usuarios de Internet. 100% 50% 1 día 2 días 3 días Gráfico 8: ciclo de vida de los troyanos en el sector bancario Como muchos otros programas de malware, los troyanos bancarios se aprovechan de las vulnerabilidades y brechas de seguridad. Los puntos débiles en los sistemas informáticos de los usuarios se identifican y se utilizan para descargar e instalar malware en el ordenador de la víctima (drive-by-download) sin conocimiento del usuario. En cuanto a los ciberdelincuentes, ya no necesitan estar perfectamente informados de las últimas vulnerabilidades y tampoco necesitan grandes conocimientos técnicos. Ahora sólo tienen que acudir a los mercados negros de Internet y comprar alguno de los kits que allí se oferten y que se venden listos para usarse. Existe una cadena perfectamente engrasada y el que descubre la vulnerabilidad y diseña el malware no tiene por qué ser necesariamente el autor del ciberataque. 22 Ver Gráfico 8 23 Buescher, Armin / Leder, Felix / Siebert, Thomas: Banksafe. Information Stealer Detection Inside the Web Browser. RAID 2011, Springer Lecture Notes in Computer Science (Vol. 6961) / Septiembre de 2011 Copyright 2011 G Data Software AG 17

19 Gráfico 9: cuota de familias de troyanos detectadas por G Data BankGuard durante el segundo semestre de 2011 Desde finales de 2010 y durante 2011, uno de las evoluciones más llamativas ha sido la del troyano bancario más popular: ZeuS. A finales de 2010, su creador anunció que abandonaba el mercado y dejó de vender el troyano que popularizó la incorporación de código malicioso en la web. Al mismo tiempo, se supo que el código fuente había sido proporcionado al creador de SpyEye. Desde entonces, algunas funciones de ZeuS se han integrado en SpyEye, y SpyEye se está comercializando como un sucesor legítimo de ZeuS. El número de detecciones de ZeuS y de SpyEye por G Data en 2011 confirma esta evolución. A principios de 2011, un desconocido ofreció el código fuente de ZeuS para su venta en un foro del mercado negro a un precio de USD En mayo de 2011, el código fuente fue finalmente publicado a través de canales desconocidos. Esta fue la primera vez que se publicó el código fuente de un troyano para el sector bancario. A lo largo del año tras la publicación del código fuente aparecieron las primeras variantes de ZeuS (como, por ejemplo, LICAT e IceIX), lo que produjo como resultado un aumento repentino en el número de detecciones de ZeuS, en especial durante el cuarto trimestre de Asimismo, se esperan nuevas variantes de ZeuS en El troyano más veces detectados en 2011 fue Sinowal, que se caracteriza por los cambios frecuentes de los mecanismos de infección y de los rootkits que utiliza. En el pasado, utilizó el rootkit para MBR Mebroot, pero actualmente hay veces lo sustituye por el rootkit para MBR TDSS y, a veces, por un componente de rootkit autoelaborado. En el último trimestre de 2011, se observó un increíble aumento en el número de detecciones del troyano para el sector bancario Carberp. El éxito renovado de este troyano parece que se debió a la integración de un rootkit en una versión más actualizada. Gozi, Silentbanker y Bebloh no han tenido un papel destacado, aunque Bebloh destaca frecuentemente por sus estrategias particularmente sofisticadas como, por ejemplo, los llamados ataques de vuelta. En este tipo de ataques, los sitios de banca online manipulados por el troyano comunican al cliente que su cuenta ha recibido una transferencia bancaria equivocada y solicita una devolución de la transferencia. El saldo de la cuenta muestra una cantidad de dinero adicional. Si el cliente transfiere la cantidad a la cuenta especificada por el delincuente, perderá el dinero, porque la cantidad adicional mostrada nunca ha existido. Lo que resulta asombroso de este ataque es que funciona independientemente del mecanismo de autenticación utilizado, ya sea un itan, un Copyright 2011 G Data Software AG 18

20 chiptan o mobiletan. Los usuarios confiados realizan ellos mismos la transferencia, por lo que los atacantes evitan la manipulación de los procesos de autenticación. Malware móvil El aumento de malware móvil para el SO Android no deja de crecer a medida que se incrementa su popularidad. En diciembre de 2010 se activaron unos dispositivos Android al día y en junio de 2011 la cifra rondaba el medio millón aunque no se quedó ahí. En diciembre del año pasado el número de activaciones diarias era de aproximadamente de , una cifra que no dejó de crecer hasta alcanzar el pico de 3,7 millones de activaciones durante los días 24 y 25 de diciembre del año pasado, según un mensaje de Andy Rubin, cofundador y jefe de desarrollo en Android Inc., en Twitter 24. Captura de pantalla 2: mensajes de Andy Rubin en Twitter sobre las activaciones de dispositivos Android, a finales de 2011 (fuente: Este desarrollo, además del número de aplicaciones disponibles en el Android Market, sitios web y otros proveedores, hace que los dispositivos móviles sean objetivos más apetecibles para los creadores de malware. En diciembre de 2011, Google anunció que Android Market había superado el hito de millones de descargas 25. Los creadores de malware para Android aún tienen muy pocas barreras organizativas que derribar. Todo lo que tienen que hacer para desarrollar aplicaciones para los mercados oficiales es abonar 25$ para contar con una cuenta de desarrollador de Google, una cantidad de dinero ridícula para cualquier delincuente. Si Google elimina una cuenta de desarrollador, los autores de malware sólo necesitan abrir otra nueva para mantener sus actividades delictivas y seguir propagando malware. Sin embargo, es más fácil publicar malware móvil en sitios o mercados de terceras partes. Incluso si el código malicioso se descubre y se elimina del Android Market oficial, continuará fácilmente disponible en estos otros canales de distribución para aplicaciones.. Hay nuevos programas de malware para las plataformas móviles 26. No se está produciendo tanto una excesiva creación de nuevo malware, como el desarrollo de numerosas y sencillas variantes de las amenazas móviles existentes. Por ejemplo, hay programas que ofrecen fondos de pantalla o una forma fácil para utilizar servicios como el acceso a vídeo a la carta. El número de puertas traseras para móviles ha crecido en el segundo semestre de 2011 un 285% respecto a los seis primeros meses del año Ver tabla 2 Copyright 2011 G Data Software AG 19

21 El troyano Android.Trojan.FakeNetflix.A, o Fake NetFlix en forma abreviada, es un malware sencillo que consulta los datos de acceso de NetFlix 27. Este troyano transfiere los datos recopilados a un servidor específico. Cuando el usuario intenta acceder, aparece un mensaje de incompatibilidad para garantizar que el usuario no sospeche de ninguna actividad indeseada. La principal forma de propagación del malware de Android es aún copiando, manipulando y volviendo a publicar aplicaciones ya conocidas y originalmente inocuas. Estas nuevas versiones con troyano son más frecuentes en mercados de terceros, pero muchas de ellas también se han encontrado disponibles en el Android Market oficial. Un ejemplo de esto último lo constituye el malware Android.Backdoor.LeNa.A, o LeNa en su forma abreviada (Legacy Native). LeNa es una puerta trasera que se copia a sí misma en los directorios del sistema para que se inicie cuando se arranque el sistema. Si esto funciona, LeNa se conecta a un servidor externo aproximadamente cada hora y transfiere datos que identifican el dispositivo de forma exclusiva. Gracias a su estructura dinámica, una Captura de pantalla 3: imagen de una aplicación que infecta dispositivos móviles Android.Backdoor.LeNa.A puerta trasera como LeNa puede cargar software adicional sin ninguna acción del usuario, ofreciéndolo para su instalación, proporcionando así un mecanismo de ataque en los smartphones Android. Sin embargo, para que se active la puerta trasera, necesita unas autorizaciones apropiadas 28, que precisan que los dispositivos móviles se encuentren desbloqueados para admitir cambios. Si ese no es el caso, LeNa ofrece al usuario unos enlaces a instrucciones y herramientas que explican al usuario cómo autorizar los cambios en el dispositivo. Esto demuestra una vez más que no es recomendable rootear totalmente un dispositivo móvil para autorizar cualquier cambio. Un análisis de las funcionalidades del malware detectado en la segunda mitad del año muestra que dominó aquel que estaba diseñado para apoderarse de datos y para enviar mensajes de texto con tarifas premium. El avance en ese terreno ha sido impresionante, puesto que los datos pueden ahora ser interceptados a los pocos segundos y la aplicación, en el caso de los troyanos Android.Trojan.GoneSixty.A o Fake NetFlix, pueden iniciar un proceso de autoeliminación para borrar cualquier rastro del ataque con el objetivo que, de esta forma, el usuario no observe ningún cambio ni pueda ver alguna aplicación desconocida que le haga sospechar sobre el ataque llevado a cabo. 27 NetFlix es una compañía de EE.UU. que alquila DVD y Blu-ray por correo en determinados países, además de ofrecer vídeo a la carta. 28 Ver captura de pantalla 3, a la derecha de la página Copyright 2011 G Data Software AG 20