G Data Malware Report. Informe semestral Julio diciembre de G Data SecurityLabs

Transcripción

1 G Data Malware Report Informe semestral Julio diciembre de 2012 G Data SecurityLabs

2 Contenido Aspectos destacados... 2 Malware: datos y cifras... 3 El crecimiento disminuye en gran medida... 3 Categorías... 4 Plataformas: Todos contra Windows!... 5 Malware para Android... 6 Monitor de riesgos... 7 Análisis de sitios Web... 9 Categorización por asunto... 9 Categorización por emplazamiento de servidores Banca online Campañas destacables Previsiones Android: un sistema operativo atractivo para usuarios y atacantes Nueva tendencia en 2012: adware Malware en Google Play Store Un malware más refinado Botnets en el terreno móvil Previsiones Copyright 2013 G Data Software AG 1

3 Aspectos destacados La cantidad total de nuevo malware ha disminuido en el segundo semestre de 2012 en comparación con los primeros seis meses del año fue un año parecido a 2011, con un ligero incremento del 2,4%. Como media, se crearon nuevas cepas de malware cada día. El número de nuevas familias (2.483 en el segundo semestre) es ligeramente superior al registrado durante la primera mitad del año. En términos de categorías, aumentó el número de puertas traseras (backdoors), un tipo de ataque que ha pasado a ocupar la segunda categoría más popular, desplazando al spyware y a los descargadores (downloaders) a la tercera y cuarta posición respectivamente. El número de nuevas cepas de malware en la categoría de herramientas ha aumentado en gran medida en Esta categoría incluye, por ejemplo, los kits para explotar webs y las herramientas para banca online. La proporción de malware para Windows permaneció estable a un 99,8%, y la proporción de malware programado en.net ha aumentado significativamente. G Data SecurityLabs recibió nuevos archivos de malware para Android más de cinco veces lo registrado en el primer semestre de Banca online: gracias en especial a Citadel, un clon de ZeuS, el propio ZeuS ha ocupado el primer puesto, por delante de Bankpatch y Sinowal. Las amenazas de adware están perdiendo predominio en el terreno de malware para PC, aunque está experimentando un impulso en los entornos móviles. Todas las áreas muestran que los atacantes aún desean obtener el máximo beneficio económico con el menor esfuerzo realizado. Eventos miniflame se presenta como otro componente de malware para ciberespionaje. Los programas de malware Mahdi y Gauss se encuentran vinculados a tareas de espionaje. Los operadores de botnets cambian las comunicaciones de mando y control (Command and Conquer) a la red Tor y usan el servicio Google Docs para la transmisión de comandos. La ingeniería social es un vector esencial en un gran número de ataques. En el segundo semestre de 2012, el Java de Oracle ocupó titulares de prensa en varias ocasiones por sus graves fallos de seguridad. Copyright 2013 G Data Software AG 2

4 Panorama para el primer semestre de 2013 El número de nuevas cepas de malware seguirá permaneciendo a un nivel parecido. Las actividades relacionadas con los troyanos bancarios se realizarán aún más desde la economía sumergida. También esperamos que los troyanos de banca utilicen la red Tor. Aparecerán nuevos métodos de ataque con nuevas tecnologías que se instalarán en dispositivos móviles como, por ejemplo, la tecnología NFC. También esperamos que se originen ataques para diversas plataformas desde los dispositivos móviles. Malware: datos y cifras El crecimiento disminuye en gran medida Si lo comparamos con la primera mitad del año, el número total de nuevas cepas de malware ha disminuido en el segundo semestre de G Data SecurityLabs registró nuevos tipos de malware en la segunda mitad de año 1, lo que supone menos que en el periodo de seis meses anterior. Figura 1: Número de nuevos programas de malware al año desde 2006 En general, 2012 fue bastante parecido a 2011, aunque no se ha alcanzado la cifra estimada de tres millones de nuevos tipos de malware para 2012 anunciada en el último informe la cifra total real fue de Por supuesto, esta es una cifra muy elevada y no debemos olvidar que estas estadísticas se refieren a nuevas variantes de firmas, no al total de todas las cepas de malware activas. Durante los últimos seis meses, hemos observado una actividad que nos indica que los autores de 1 Las cifras en este informe se basan en la identificación del malware utilizando para ello firmas de virus basadas en parecidos en el código de archivos dañinos. Una gran parte del código del malware es similar y se combina en familias, en donde las pequeñas diferencias se denominan variantes. Básicamente, los archivos diferentes forman la base de sus propias familias. El recuento se basa en las nuevas variantes de las firmas, también llamados tipos de malware, creadas en el segundo semestre de 2012 Copyright 2013 G Data Software AG 3

5 malware en algunas áreas se están ahora centrando en la calidad en vez de en la cantidad y que las cifras arriba indicadas pueden ser una muestra de ello. Categorías Los programas de malware pueden clasificarse basándose en las acciones maliciosas que realizan en un sistema infectado. Las categorías más importantes se muestran en la Figura. La principal categoría aún es la de los troyanos, que han ocupado un indiscutible primer puesto durante años. Estos programas incluyen una amplia gama de funciones maliciosas (como puede ser ransomware, antivirus falso u otro tipo de malware instalado en ordenadores infectados a través de, por ejemplo, puertas traseras). El número de puertas traseras (backdoors) también ha aumentado paulatinamente a lo largo de la última mitad de año, y esta categoría ocupa ahora el segundo puesto, por delante de programas spyware y de los descargadores (downloaders). El número de herramientas (tools) aumentó de nuevo en gran medida durante los últimos doce meses, y aparece ahora en el sexto puesto en la clasificación por categoría. Esto se debe al cada vez mayor número de kits para explotación de webs y a las herramientas para banca online. La tendencia a la baja en nuevo malware de adware es también destacable. Esta tendencia a la baja también se refleja en los ataques realizados en los usuarios de ordenadores, algo que G Data SecurityLabs estudia en mayor detalle en la sección "Monitor de ". Figura 2: Número de nuevos tipos de malware por categoría en el último periodo de seis meses Copyright 2013 G Data Software AG 4

6 Plataformas: Todos contra Windows! Al igual que ocurre con los programas informáticos de uso habitual, el malware se elabora habitualmente para una plataforma específica. Durante años, la amplia mayoría de malware ha tenido como objetivo la plataforma Windows 2. Incluso a finales de 2012, el objetivo sigue siendo el mismo: la proporción de desarrollos.net (MSIL) dentro de este grupo ha crecido en gran medida, tal y como se muestra en la Tabla 1. Segundo semestre de 2012 Primer semestre de 2012 Diferencia entre segundo semestre de 2012 y primer semestre de 2012 Diferencia entre 2012 y 2011 Plataforma Cuota Cuota 1 Win 1,223, % 1,360, % % +2.37% 2 MSIL 33, % 18, % % % 3 WebScripts 1, % 1, % % % 4 Java 426 <0.1% 662 <0.1% % % 5 Scripts <0.1% 483 <0.1% % % Tabla 1: Principales 5 plataformas en los dos últimos semestres La comparación anual entre 2012 y 2011 indica que el número de nuestro scripts para web ha disminuido un 50%. Sin embargo, esto no nos permite afirmar necesariamente que exista un peligro menor proveniente de sitios web manipulados, porque las cifras aquí utilizadas se basan en nuevas firmas y no en los ataques realmente registrados. La sección "Monitor de " le ofrece una información más detallada sobre la situación real de las amenazas en el segundo semestre de Por otra parte, el número de firmas que tienen como objetivo la plataforma Java casi se ha duplicado en este mismo periodo. Una posible explicación de esto es la posibilidad de explotar de forma continua sus fallos de seguridad, lo que colocó al Java de Oracle en el punto de mira de los medios de comunicación 5 varias veces en 2012, además del atractivo de esta plataforma como objetivo para los ciberdelincuentes. 2 Entendemos por malware para Windows archivos ejecutables en formato PE declarados allí para Windows o archivos ejecutados creados en Microsoft Intermediate Language (MSIL). El MSIL es el formato intermedio que se usa en el entorno.net. La mayoría de aplicaciones.net se pueden utilizar en cualquier plataforma pero se usan casi exclusivamente en ordenadores con sistema operativo Windows 3 En este punto se ha corregido un error de aproximación, desde el incorrecto 1,3% a 1,4%. 4 "Scripts" son archivos de procesamiento por lotes o archivos de procesamiento escritos para shell o programas escritos en lenguajes de programación VBS, Perl, Python o Ruby Copyright 2013 G Data Software AG 5

7 Malware para Android Pueden usarse diferentes valores para contar el malware para Android. Un método se basa en el estudio del número de nuevos archivos maliciosos. G Data SecurityLabs registró un total de nuevos archivos de malware 6 en la segunda mitad de 2012, cinco veces más de lo registrado en el semestre anterior. En algunos casos, G Data SecurityLabs recibe grupos de archivos que contienen una gran cantidad de nuevos archivos de malware correspondientes a un periodo de tiempo prolongado. Su asignación a una fecha exacta no es siempre posible. Para ajustar estos picos a la situación real en el análisis, los datos que no pueden ser asignados a fechas determinadas se distribuyen de manera uniforme a lo largo de los meses anteriores. 7 Los resultados de la distribución de muestran en la Figura 3. Basándonos en las firmas correspondientes 8, los archivos individuales se pueden asignar a ciertas familias y a sus variantes de los nuevos archivos maliciosos se identificaron claramente como malware 9 y pueden relacionarse con cepas diferentes de malware. Estas variantes de malware se basan en 314 familias diferentes de malware. En el último periodo de seis meses, los expertos registraron 131 nuevas familias. En algunos casos, G Data SecurityLabs recibe grupos de archivos que Figura 3: Distribución de nuevas muestras que podrían ser asignadas al segundo semestre de 2012, después de los ajustes. Familia # variantes FakeInst 90 SMSAgent 80 Ginmaster 63 Opfake 55 Agent 46 contienen una gran cantidad de nuevos archivos de malware Tabla 2: Lista de familias de correspondientes a un periodo de tiempo prolongado. Su Android con más variantes en el asignación a una fecha exacta no es siempre posible. La Tabla 2 segundo semestre de 2012 muestra una lista de las familias más productivas, esto es, las familias con más variantes. Tal y como ocurre en los análisis realizados en el campo de malware para PC, la mayoría del nuevo malware para dispositivos móviles también está formado por troyanos 10. La proporción de adware entre el nuevo malware es relativamente baja. Sin embargo, los ataques con este tipo de malware acaban de comenzar y esperamos más cantidad de nuevos archivos de malware en el futuro. Esto 6 El malware de Android puede identificarse basándose en varios archivos. El paquete de instalación (APK) contiene numerosos archivos, que a su vez incluyen el código y las propiedades (entre otras cosas). En esta forma de hacer el recuento, las detecciones del APK y de sus componentes respectivos se combinan en un archivo malicioso, incluso cuando hay varios archivos en nuestro conjunto 7 63,8% de nuevos archivos de malware en el Segundo semestre de 2012 se podría asignar a una fecha determinada. Los archivos restantes se distribuyeron a lo largo de 3 ó 6 meses para los cálculos actuales. 8 La cuenta de firmas y variantes se basa en las firmas de productos de G Data MobileSecurity. 9 SW muestras, fueron identificadas como potencialmente programas no deseados y se detectaron con firmas genéricas. 10 cf. Figura Copyright 2013 G Data Software AG 6

8 generará beneficios económicos para los atacantes mediante el suministro de publicidad y de acciones parecidas, tal y como se describe en la sección Nueva tendencia en 2012: adware. La estimación que afirma que el número de nuevos archivos de malware va a aumentar y que la cantidad de familias también va a crecer fue, por lo tanto, correcta. También observamos nuevos escenarios de ataques integrados en nuevas familias. Si desea más información sobre este asunto, vea la sección Android: un sistema operativo atractivo para usuarios y atacantes. Monitor de riesgos El número de ataques en usuarios de ordenadores protegidos con el uso de productos de G Data y con MII 11 activado también aumentó en el segundo semestre de El análisis muestra los siguientes 10 tipos de ataques contra los que se protege más frecuentemente: Puesto Nombre % 1 Win32:DNSChanger-VJ [Trj] 9.24% 2 Trojan.Wimad.Gen % 3 Win64:Sirefef-A [Trj] 1.99% 4 Trojan.Sirefef.HU 1.15% 5 Trojan.Sirefef.GY 1.11% 6 Trojan.Sirefef.HH 0.86% 7 Exploit.CVE Gen 0.78% 8 Trojan.Sirefef.HK 0.75% 9 Generic.JS.Crypt1.C14787EE 0.61% 10 JS:Iframe-KV [Trj] 0.58% Tabla 3: 10 principales ataques protegidos por MII en H La conclusión más importante en este terreno es que el troyano Sirefef, también conocido como Zero Access, y sus variantes dominan los 10 principales malware durante este semestre. Ya nos hemos ocupado de esta familia de troyanos y de su estructura modular en el informe del primer semestre del año, cuando se explicó que su principal intención era cometer acciones fraudulentas haciendo clic en enlaces maliciosos para, de esta forma, añadir dinero a las arcas de los atacantes. A lo largo de los últimos seis meses de 2012, se han observado numerosas variantes de este malware que, básicamente, dominan los diez primeros puestos de principales programas maliciosos. Si combináramos todas estas variantes en una única firma, ocuparía definitivamente una de las principales posiciones del listado y los cambios de los 10 primeros puestos de MII durante el segundo semestre del año podrían distinguirse con mucha mayor claridad. 11 La Malware Information Initiative (MII) se basa en la potencia de la comunidad online y cualquier cliente que adquiera una solución de seguridad de G Data puede participar en esta iniciativa. El requisito previo es que cualquier cliente active esta función en su solución de seguridad de G Data. Cuando se produce un ataque de un malware informático, se envía un importe totalmente anónimo a G Data SecurityLabs. G Data SecurityLabs recopila y analiza posterior y estadísticamente los datos de este malware. Copyright 2013 G Data Software AG 7

9 Sin embargo, en primer puesto observamos la gran cantidad de malware Win32:DNSChanger-VJ [Trj] detectado. Este malware se suministra a menudo como una carga de la familia Sirefef que también aparece en una posición destacada en las estadísticas. Con la excepción de la función para cometer acciones fraudulentas haciendo clic en enlaces maliciosos que presentan muchas cepas de Sirefef, el listado del segundo semestre de 2012 no incluye ningún malware de adware explícito. Esto confirma la tendencia a la que ya nos referimos en el informe del primer semestre del año y el desarrollo de las cifras basadas en firmas que se muestra en la Figura. De los 10 principales malware en este semestre, solo el de tipo Generic.JS.Crypt1.C14787EE podría ser asignado a esta categoría en todos los sentidos. Esto se detecta cuando los sitios web usan un script específico en Java para mostrar la publicidad. Sin embargo, también se utilizó para generar de forma artificial clics para hacer dinero, siguiendo una estrategia de pago por clic realizado. Una nueva incorporación a la lista de principales malware es la del Exploit.CVE Gen. La firma para la explotación descrita en CVE aparece cuando documentos (por ejemplo documentos de Microsoft Word u otros archivos de texto manipulados) explotan una vulnerabilidad para ejecutar funciones maliciosas adicionales en el ordenador de la víctima (como la descarga y ejecución de malware adicional). Copyright 2013 G Data Software AG 8

10 Análisis de sitios web Categorización por asunto Se han observado numerosas novedades en la segunda mitad de 2012 en relación al análisis de categorías de sitios web clasificados como maliciosos 12. Las principales 10 categorías representan el 88,6%, lo que supone un 17,9% más de lo registrado en el primer semestre de 2012, abarcando casi toda la gama de asuntos en los que se han centrado los atacantes durante este semestre. Los Foros representan una novedad que aparece en el cuarto puesto, y los Deportes, que ahora ocupan la octava posición, son nuevas incorporaciones, desplazando los Juegos y la Música de las 10 principales categorías. En las tres primeras posiciones Tecnología y Telecomunicaciones, Educación y Negocios, registramos un aumento en la proporción de sitios web que sufrieron un abuso de phishing de PayPal. El sector de Viajes también fue víctima de este tipo de phishing durante este semestre, mientras que también se observaron otros sitios fraudulentos relacionados con banca online. Para tener más información sobre banca online, vea la sección con este mismo nombre en la página 12. Figura 4: Sitios web maliciosos en el segundo semestre de 2012 en función de su contenido Las categorías de Foros y Blogs se encuentran a menudos vinculadas al malware. Esto se debe en gran medida a la gran cantidad de vulnerabilidades que existen en algunas aplicaciones de foros y blogs muy utilizadas y explotadas por los atacantes, quienes utilizan máquinas para encontrar plataformas vulnerables para, posteriormente, realizar ataques automáticos sobre ellas, manipulando los sitios web para lograr sus objetivos. De esta forma, los atacantes pueden llegar a una gran cantidad de víctimas potenciales. No resulta sorprendente que la Pornografía también haya logrado un puesto en este listado. Sin embargo, debe hacerse una clara distinción entre proveedores legítimos de contenido adulto y sitios fraudulentos. Los sitios web de esta última categoría se distinguen a menudo en este campo 12 En este contexto, los sitios web maliciosos incluyen sitios de phishing además de sitios de malware. El recuento tampoco distingue entre dominios establecidos específicamente para este objetivo y los sitios legítimos que han sido manipulados. Copyright 2013 G Data Software AG 9

11 de malware porque, a menudo, ofrecen actualizaciones necesarias para programas multimedia que albergan malware. Sin embargo, también se han observado ataques de phishing en los que operadores de sitios con mala fama intentan apoderarse de datos personales y de información de tarjetas de crédito. Los proveedores de confianza se encuentran preocupados por la protección de la privacidad y de la seguridad de sus clientes y, a menudo, toman grandes medidas para proteger sus infraestructuras de TI. Conclusión: El último periodo de seis meses hemos observado una concentración de relativamente pocos asuntos. Sin embargo, eso no significa que el riesgo de las infecciones o de los fraudes se limite a los sitios de dichas categorías. Vemos de nuevo que los blogs ocupan una posición especialmente alta en la clasificación de objetivos en los ataques, lo que confirma la tendencia detectada en previos estudios. Los ataques masivos en sistemas de gestión de contenido obsoletos con vulnerabilidades son aún uno de los métodos más populares y siguen estando muy presentes. La manipulación de estos sitios puede realizarse con facilidad y puede afectar a una amplia gama de usuarios, ajustándose muy bien al modelo de negocio de los ciberdelincuentes: un poco esfuerzo que genera rápidamente grandes beneficios. Copyright 2013 G Data Software AG 10

12 Clasificación por emplazamiento de servidores A la hora de de analizar los sitios web, además de ver los asuntos más populares en los sitios web maliciosos, también resulta interesante estudiar la distribución local de los sitios web maliciosos, tal y como se muestra en la Figura 5. Emplazamiento menos popular de servidores Emplazamiento popular de servidores Figura 5: Mapa de coropletas con información sobre la frecuencia de sitios web maliciosos alojados en cada país La principal conclusión de este análisis es que hay ciertas regiones del mundo que son especialmente atractivas para albergar sitios web, gracias a sus infraestructuras de telecomunicaciones. Entre dichas regiones se incluyen, en particular, los EE.UU., que albergó el mayor número de sitios web maliciosos el año pasado, y también países de Europa central como Alemania, Francia, España y Gran Bretaña. En comparación con el primer semestre de 2012, China ha registrado un incremento y ahora tiene más sitios web atacantes que antes. A lo largo del último semestre, ha disminuido el número de países que no ha participado en absoluto. G Data SecurityLabs está registrando ahora tan solo unos pocos lugares en blanco en el mapa, con un valor cero en el informe. Sin embargo, África Central es una zona que aún se encuentra libre de sitios maliciosos, aunque el número de dichos sitios web ha aumentado en otros países en el continente en comparación con el primer semestre de Sin embargo, teniendo en cuenta el número bastante pequeño de todos los sitios web que se estima pueden estar albergados en el continente - encontrándose la mayoría de ellos Sudáfrica (un informe 13 afirma que el 0,27% de los sitios registrados por Alexa se encontraron entre el millón de sitios más destacados)-, este aumento merece ser indicado Copyright 2013 G Data Software AG 11

13 Banca online En el terreno de los troyanos para banca online, observamos unos desarrollos interesantes durante el segundo semestre de El total de infecciones se redujo continuamente y en diciembre solo se registraron aproximadamente un tercio de las infecciones potenciales observadas en el mes de julio. Tercer trimestre de 2012 Bankpatch 29.1% Citadel 25.5% ZeuS 23.3% Sinowal 16.3% Spyeye 3.1% Otros 2.7% Figura 6: Proporción de familias de troyanos para banca detectados por BankGuard en el segundo semestre de 2012 Cuarto trimestre de 2012 Citadel 24.0% Bankpatch 22.8% ZeuS 17.9% Sinowal 13.2% Tatanga 10.1% Otros 12.0% Tabla 4: cuota de familias de troyanos bancarios detectadas por BankGuard en el tercer y cuarto trimestre de Una razón para explicar esto podría ser la detención de importantes ciberdelincuentes que operaban con malware para banca online en el primer semestre del año 14. Parece que hay tan pocos programadores en este sector por lo que, prácticamente, el desarrollo de todos los troyanos para estas actividades sufrió un duro golpe generalizado. Entre otras cosas, esto permitió que los proveedores de antivirus mejoraran su posicionamiento. Básicamente, todos los troyanos para banca conocidos registraron menos infecciones en la segunda mitad de 2012, tal y como mostramos claramente en la Figura. SpyEye desapareció casi completamente y, gracias en particular al clon de ZeuS Citadel., ZeuS ocupó la primera posición, por delante de Bankpatch y Sinowal, aunque también registró unas cifras muy inferiores en comparación con periodos anteriores. Campañas destacadas Nuevos troyanos, como Shylock y Tilon, siguen proporcionando un número de infecciones prácticamente insignificante. Solo Tatanga logró registrar un número importante de infecciones. 14 G Data SecurityLabs informó sobre esto en el Informe de G Data sobre Malware del primer semestre de Copyright 2013 G Data Software AG 12

14 Otro caso interesante es el del troyano Prinimalka 15. Este es un ataque coordinado y a gran escala para clientes de bancos americanos que se conoce con el nombre Proyecto Blitzkrieg. Sin embargo, aún se desconoce cuándo va a comenzar dicho ataque. Hasta la fecha, G Data no ha registrado ninguna tasa de infección importante. Un ataque con éxito sobre objetivos determinados fue el de Operación High Roller, que se detectó a principios del segundo semestre del año. Técnicamente, contaba con el uso de antiguos troyanos como ZeuS y SpyEye, aunque se mejoraron los algoritmos de ataque de tal forma que lograron burlar incluso la autenticación con tarjetas equipadas con chip sin ser detectados. La Operación High Roller se dirigió a cuentas bancarias con gran cantidad de dinero depositado como, por ejemplo, las cuentas empresariales. De esta forma, se logró transferir grandes cantidades de dinero desde esas cuentas a las llamadas mulas de dinero. Se desconoce la cantidad total real, pero se ha informado que podrían encontrarse entre los 60 millones y los millones de euros. Parte del dinero fue probablemente bloqueado por los bancos, pero la cantidad total robada es muy probable que haya alcanzado unas dimensiones desconocidas hasta ahora. La tecnología de G Data Figura 7: cambio en el número de infecciones de los principales 5 troyanos para banca en la segunda mitad de 2012 BankGuard protege contra este tipo de ataque. Previsiones No está muy claro el troyano para banca que va destacar en Bankpatch registró un nivel de infección disminución, por lo que el futuro del troyano parece cuestionable. El autor de Citadel, una variante de ZeuS, parece estar oculto en estos momentos, por lo que parece improbable que volvamos a registrar los mismos malware en los primeros puestos del listado. Estamos seguros que vamos a registrar nuevos clones de Zeus, pero aún tenemos que ver si van a conseguir las tasas de infección que logró el Citadel. Existen indicios que nos muestran la posible vuelta de Carberp, aunque este malware nunca registró unas tasas de infección especialmente altas en los análisis realizados anteriormente. Sin Copyright 2013 G Data Software AG 13

15 embargo, de nuevo parece estar comercializándose en el mercado negro y el descubrimiento de una nueva variante móvil de Carberp 16 es otro indicador de esta actividad. En general, sin embargo, no esperamos necesariamente que el número reducido de infecciones de troyanos bancarios disminuya aún más en La gran cantidad de dinero que se puede conseguir potencialmente es posible que siga resultando algo muy atractivo para una gran cantidad de delincuentes. Sin embargo, es muy probable que las personas detrás de estas actividades corran el riesgo de tomarse más en serio las posibles consecuencias legales de sus acciones. Pero no solo las personas detrás de estos troyanos, sino también los responsables de su uso real se verán alarmadas por el éxito logrado por las investigaciones de las autoridades. Por ello se espera que el sector de la economía sumergida se preocupe más por la seguridad. Entre otras cosas, hay un debate en este sector de la economía sumergida sobre si deben dejar que los troyanos bancarios se comuniquen a través de la red Tor 17, como fue el caso reciente de otros botnets como Skynet. Hasta la fecha, Europa del Este ha sido el centro del comercio con troyanos bancarios. Como todas las partes involucradas se han sentido muy seguras en cuanto a la persecución de sus actividades, el comercio en Internet se ha realizado de manera bastante abierta. En estas regiones, sin embargo, se han puesto en marcha una serie de acciones para enviar un mensaje, mostrando que esta aparente seguridad no existe. Por esta razón es muy probable que el comercio se realice en un nivel incluso más sumergido, y es posible que el mercado de troyanos bancarios se traslade a países en donde es menos probable que estas actividades sean perseguidas por las autoridades. 16 Ver Figura Copyright 2013 G Data Software AG 14

16 Android: un sistema operativo atractivo para usuarios y atacantes En la segunda mitad de 2012, G Data también se centró en las amenazas actuales que afectan a dispositivos móviles y smartphones. El aún muy inmaduro mercado siguió ofreciendo a los atacantes una amplia serie de oportunidades para crear y difundir malware utilizando para ello sencillos mecanismos. Los incidentes con malware en el sector móvil a lo largo del último semestre incluyeron ligeras variantes de malware bien conocido, además del empleo de malware con nuevo enfoque. En general, el malware se ha hecho más sofisticado, complejo y técnicamente avanzado. También se observó un destacado aumento en el número de nuevas muestras de malware en este semestre 18. Figura 8: Selección de malware para dispositivos móviles que apareció en 2012 Nueva tendencia en 2012: adware La evolución en adware para el sector de los dispositivos móviles contrasta con nuestras conclusiones en relación con el adware en el sector de malware para PC 19. Lo mismo que antes, la forma más fácil para que los autores de malware envíen mensajes de texto potencialmente muy caros es hacerlo de una vez o a intervalos. Sin embargo, la instalación requiere unas autorizaciones que, al menos con los proveedores de mercados de terceras partes, pueden confundir al usuario. Las aplicaciones en Google Play Store siempre precisan la autorización del usuario, pero una actitud de cierto descuido hace que los usuarios opten frecuentemente por las aplicaciones de mercados no oficiales, aceptando las autorizaciones necesarias para acceder a las aplicaciones, algo que sigue constituyendo todo un problema. Desde la versión 4.2 de Android, los usuarios tienen que leer / hacer clic a toda la lista de autorizaciones requeridas antes de que la aplicación pueda instalarse. Sin embargo, esto no ha tenido efecto para la difusión generalizada de una mentalidad para hacer clic y olvidarse de las consecuencias. Ha aparecido un modelo de negocio nuevo y lucrativo que incorpora incluso aplicaciones que aparecen en los listados de Google Play Store y que permiten a los atacantes ofrecer servicios potencialmente sujetos al cobro de tarifas sin contar la autorización necesaria por parte del usuario, únicamente con el uso de adware. En primer lugar, esto puede hacerse con tan solo mostrar publicidad o utilizando software tradicional. Sin embargo, estos anuncios se han usado de forma mucho más agresiva para hacer que los usuarios instalen software adicional (malicioso). 18 Ver capítulo Malware para Android en página Ver página 1 y página 8. Copyright 2013 G Data Software AG 15

17 En la segunda mitad de 2012, los usuarios de Android tuvieron que hacer frente de manera predominante al troyano Android.Trojan.FakeDoc.A, o FakeDoc.A en forma abreviada 20. Oculto en aplicaciones como Battery Doctor, el troyano espía los datos del dispositivo datos de contactos, por ejemplo. El ámbito funcional se limita a mostrar el nivel de la batería y a gestionar las conexiones de Wi-Fi y Bluetooth del dispositivo móvil. Desde un punto de vista técnico, lo que ocurre en segundo plano es mucho más interesante. Además de la aplicación, el troyano instala un servicio de adware que muestra unos avisos en el smartphone, que son unos anuncios vinculados a malware y a sitios web dudosos. Lo más destacado es que el servicio adicional instalado permanece en el dispositivo incluso después de eliminar el "Battery Doctor". Por esta razón, los usuarios no pueden saber la aplicación que inició originalmente este servicio y lo que tienen que desinstalar para eliminar también dicho servicio. Pantallazo 1: Aplicación Go Weather infectada con el troyano MMarketpay.A. Los autores del malware Android.Trojan.MMarketPay.A, llamado MMarketpay.A en forma abreviada, utilizaron un mecanismo parecido para difundir malware adicional. Las aplicaciones con troyanos como, por ejemplo, las aplicaciones Go Weather, Travel Sky y ES Datei Explorer se ofrecían predominantemente para descarga a través de sitios web chinos y en mercados de terceras partes. En este caso, una aplicación para conocer las previsiones meteorológicas solo ofrecía una cantidad limitada de funciones y escasa información meteorológica. Además de las funciones maliciosas como, por ejemplo, los servicios de pago, que hacía que los usuarios realizaran grandes compras en el mercado chino sin su conocimiento 21, el MMarketpay.A publicitaba software adicional infectado con troyanos. Pantallazo 2: Aplicaciones situadas en un servidor chino publicitada desde la aplicación La propagación del software (malicioso) a través de publicidad en aplicaciones con troyanos ganó terreno en Lo especial de este tipo de adware es que ofrece software apropiado para cada país, basándose en la dirección IP del usuario. Cuando los usuarios hacen clic en la oferta, el adware no les conduce a Google Play Store, sino a mercados de terceras partes situados en Asia o a otros sitios web en su mayoría fuentes de descargas inseguras y de poca confianza. Los clientes que permiten a su dispositivo Android la instalación de software de sitios desconocidos no reciben ningún aviso de las fuentes cuestionables en ese tipo de situaciones. Incluso la función maliciosa de pago en MMarketpay.A descrita anteriormente se limita a China, pero ofrece un panorama 20 G Data informó detalladamente sobre FakeDoc en el Informe sobre Malware 1/ Copyright 2013 G Data Software AG 16

18 desalentador para el futuro. Solo son necesarias algunas modificaciones para que este tipo de ataque pueda ser usado en los mercados europeos y americanos. Por ello es muy posible que una versión modificada de ese tipo de aplicación maliciosa aparezca en Europa para dirigirse a clientes de proveedores móviles europeos. En este terreno, la comodidad del cliente - que desea acceder a los mercados con la máxima facilidad a los mercados representa un punto de vista contrapuesto a la seguridad de los dispositivos que utiliza. Malware en Google Play Store Aunque Google ha desarrollado el sistema Google Bouncer, que ha estado comprobando de manera oficial aplicaciones entregadas a Google Play desde principios de 2012, aún se ha encontrado malware en Google Play en el segundo semestre de Un ejemplo de malware que ha penetrado en Google Play Store e incluso en Apple App Store, a pesar de las medidas de seguridad existentes, es el Android.Trojan.FindAndCall.A, o FindAndCall.A en forma abreviada. Pantallazo 3: Find And Call en Google Play Pantallazo 4: Find And Call en the Apple App Store Cuando se ejecuta la aplicación, el malware FindAndCall.A envía los contactos del usuario a un servidor definido por el atacante sin precisar interacción alguna por parte del usuario. Posteriormente, el servidor envía spam a través de SMS, además del enlace a la aplicación maliciosa a todas las entradas disponibles. Todo esto sucede con el usuario como remitente, lo que representa un potencial de alto riesgo. La fuente de los mensajes SMS parece ser una fuente conocida y de confianza y los receptores de los SMS se ven tentados a seguir las recomendaciones del remitente. Un malware incluso más refinado Los comentarios sobre el adware que ha surgido han indicado lo que parece ser una nueva tendencia: el malware puede parecer sencillo en un primer momento, pero cuenta con opciones para ampliar el alcance de sus funciones posteriormente. Por ejemplo, el FindAndCall.A contenía una función para cargar la localización del GPS del usuario a un servidor predefinido, aunque no ha comenzado a usarla aún. Los llamados kits de crimeware, que facilitan en gran medida el acceso al malware para los delincuentes, también facilita el profesionalismo del malware en dispositivos móviles. El malware construido usando componentes programados de forma profesional para malware normalmente funciona de manera inmediata. Al contrario de lo que ocurre con software amateur mal programado, es más probable que el software elaborado con kit de crimeware permanezca sin ser detectado durante más tiempo. En el campo de malware para PC, el principio detrás de estos kits lleva conociéndose durante mucho tiempo y es conocimiento generalizado. El resultado del uso de Copyright 2013 G Data Software AG 17

19 estos kits en el terreno de los PC puede verse principalmente en el desarrollo de troyanos, tal y como se indica en el gran número de nuevas variantes de firmas que se muestran en la Figura de la página 4. Los atacantes que carecen de las habilidades de programación necesarias o que desean acceder al nuevo malware para realizar rápidamente sus acciones, solo tienen que pagar por las herramientas necesarias para crear los programas maliciosos. El principio subyacente detrás de estos kits, en donde las funciones de malware deseadas pueden ser seleccionadas e incluidas en una aplicación de malware, permite que el malware y sus funciones maliciosas incrementen su complejidad. Alrededor de la misma fecha que el FindAndCall.A estaba causando furor, científicos estadounidenses publicaron un informe para dar a conocer el desarrollo de una aplicación segura y legítima, equipándola con funciones muy sospechosas y ecaneándola varias veces con el Bouncer de Google. Siempre que los desarrolladores no equiparan las funciones maliciosas con valores muy poco realistas (por ejemplo, un contacto de servidores cada segundo en vez de uno cada 15 minutos), la aplicación no parecía sospechosa al Bouncer automático y, por lo tanto, permanecía como válidamente aceptado en Google Play Store 22. Un análisis de este tipo muestra de nuevo que resulta difícil para los usuarios detectar malware programado de forma sofisticada, incluso cuando proviene de un laboratorio de investigaciones. Incluso los mecanismos de seguridad de Google solo intervinieron en una etapa tardía para impedir el peligro en su propia tienda de aplicaciones. Por esta razón, resulta ahora esencial contar con una protección adicional para dispositivos móviles en forma de software completo para garantizar la seguridad de los equipos. Botnets en el dominio público En el terreno de los equipos de sobremesa, los botnets se conocen desde hace mucho tiempo. Los atacantes los utilizan, por ejemplo, para enviar spam, para atacar sitios web o servicios (DDoS) o para espiar datos. El tamaño de los botnets puede variar de unos pocos ordenadores infectados a miles de los llamados zombis. Atacante Comando a bot: SMS/llamada de pago SMS/llamada de pago Dispositivo infectado Servicio de pago Pago Factura Figura 9: Instalación potencial de un botnet en un entorno móvil 22 Copyright 2013 G Data Software AG 18

20 Los dispositivos móviles también pueden transformarse en bots cuando los atacantes obtienen acceso completo lo que se conoce como acceso root a los dispositivos. Para hacerlo, explotan vulnerabilidades de seguridad no parcheadas en el sistema operativo. La puerta trasera Android.Backdoor.SpamSold.A, o SpamSoldier.A en forma abreviada, engaña a los usuarios con una copia pirata del popular juego Angry Birds. La aplicación infectada se ofrece para descarga en los mercados no oficiales o en sitios web. Cuando la puerta trasera llega al dispositivo, su servidor de mando y control envía una lista con números de teléfono y, sin que lo sepa el usuario, manda un texto predefinido en forma de mensajes cortos a expensas del usuario. Cuando todos los mensajes SMS se han enviado, el dispositivo accede a una nueva lista. El usuario no es consciente de esta actividad hasta que llegue la siguiente cuenta de teléfono. Por esta razón, el daño puede ser tremendo. También puede utilizarse un botnet para permitir a los dispositivos individuales llamar a números de lata tarificación. El procedimiento es parecido al descrito anteriormente. Sin embargo, como estos servicios son mucho más caros, los usuarios se exponen a unas perdidas potenciales mucho mayores. En lo que se refiere al uso de botnets para dispositivos móviles, el objetivo es claro: conseguir beneficios económicos rápida y sencillamente 23. Previsiones Con 1,3 millones de nuevos dispositivos activados diariamente, Android es un objetivo cada vez más destacado para numerosos vectores de ataque. El malware ya conocido seguirá apareciendo en formas modificadas. Pantallazo 5: Tweet de Andy Rubin sobre la activación de dispositivos Android Según un estudio de Flurry, más de 17,4 millones de nuevos dispositivos móviles ios y Android fueron activados el día de Navidad (25 de diciembre de 2012) 24. Por ello, además del espionaje de datos, el envío de mensajes SMS a números de alta tarificación seguirá siendo la función maliciosa dominante en Las nuevas tecnologías instaladas en dispositivos también abrirán nuevas oportunidades para atacar a los usuarios y a sus dispositivos móviles. En 2011, Google presentó su nuevo modelo de negocio, Google Wallet 25, en el que muchas de las principales organizaciones de tarjetas de crédito han estado participando desde agosto de Google Wallet es un sistema de pago móvil que permite a los usuarios almacenar tarjetas de crédito, tarjetas de débito, tarjetas de cliente y vales de descuento en sus smartphones. El dispositivo móvil puede utilizar esta información para pagar de forma rápida y fácil en los establecimientos (oficialmente solo en EE.UU. por el momento) o en tiendas online que se visiten cuando se navegue por la Web con el smartphone. Para el pago en los establecimientos, el servicio usa la tecnología Near Field Communication (NFC en forma abreviada, implementada por Android a partir de la versión 2.3). Esta tecnología permite pagar rápida y cómodamente con tan solo colocar el teléfono cerca de un dispositivo habilitado para este tipo de pagos (PayPass) cuando se realice la compra. Desde 2012, muchos smartphones ya se ofrecen de forma automática con NFC, haciendo esta 23 Ver Figura Copyright 2013 G Data Software AG 19

21 tecnología incluso más atractiva para los atacantes. Sin embargo, el uso de tecnología NFC no se encuentra disponible todavía en todos los lugares, por lo que esta amenaza no tiene un papel destacado en estos momentos. Asimismo, muchos usuarios no son conscientes de las prestaciones y de los riesgos que pueden correr con el uso de servicios NFC. Aunque esta tecnología es relativamente inmadura, también se han encontrado vulnerabilidades en Google Wallet, por ejemplo, lo que hace inseguros los pagos de las transacciones realizadas 26. Como algo de información se guarda y se accede fuera de la aplicación, los hackers pueden interceptar el flujo de datos y acceder a información crítica sobre seguridad. En 2013, los delincuentes seguirán pendientes de los dispositivos móviles. Las grandes ventas de dispositivos, que aún se encuentran en aumento, siguen incrementando el atractivo de Android como un objetivo para los delincuentes. Nuevas tecnologías, como la NFC - que siguen difundiéndose (aunque lentamente) -, las conexiones de telefonía móvil más rápidas y los mayores volúmenes de datos ofrecen numerosa opciones para realizar ataques en Sin embargo, los atacantes seguirán utilizando estos mecanismos para sus ataques siempre que puedan obtener beneficios rápidos con el uso de métodos sencillos (como, por ejemplo, una copia con troyanos en aplicaciones populares). Si el análisis de rentabilidad indica la existencia de demasiados costes para los atacantes, se crearán una mayor cantidad de nuevos escenarios. En este terreno, los atacantes de dispositivos móviles actúan de la misma forma que lo hacen los atacantes de PC tradicionales Copyright 2013 G Data Software AG 20