g data malware report informe semestral julio – diciembre ... malwar… · comparación con los...

G Data

Malware Report

Informe semestral

Julio – diciembre de 2012

G Data SecurityLabs

Copyright © 2013 G Data Software AG 1

G Data MalwareReport H2/2012

Contenido

Aspectos destacados ........................................................................................................................... 2

Malware: datos y cifras ........................................................................................................................ 3

El crecimiento disminuye en gran medida .......................................................................................................... 3

Categorías ........................................................................................................................................................................ 4

Plataformas: “¡Todos contra Windows!” ................................................................................................................ 5

Malware para Android ................................................................................................................................................. 6

Monitor de riesgos ............................................................................................................................... 7

Análisis de sitios Web .......................................................................................................................... 9

Categorización por asunto ........................................................................................................................................ 9

Categorización por emplazamiento de servidores ........................................................................................ 11

Banca online ....................................................................................................................................... 12

Campañas destacables ............................................................................................................................................ 12

Previsiones .................................................................................................................................................................... 13

Android: un sistema operativo atractivo para usuarios y atacantes.............................................. 15

Nueva tendencia en 2012: adware ...................................................................................................................... 15

Malware en Google Play Store .............................................................................................................................. 17

Un malware más refinado ....................................................................................................................................... 17

Botnets en el terreno móvil .................................................................................................................................... 18

Previsiones .................................................................................................................................................................... 19



Aspectos destacados • La cantidad total de nuevo malware ha disminuido en el segundo semestre de 2012 en

comparación con los primeros seis meses del año. 2012 fue un año parecido a 2011, con un

ligero incremento del 2,4%.

• Como media, se crearon 6.915 nuevas cepas de malware cada día.

• El número de nuevas familias (2.483 en el segundo semestre) es ligeramente superior al

registrado durante la primera mitad del año.

• En términos de categorías, aumentó el número de puertas traseras (backdoors), un tipo de

ataque que ha pasado a ocupar la segunda categoría más popular, desplazando al spyware y

a los descargadores (downloaders) a la tercera y cuarta posición respectivamente.

• El número de nuevas cepas de malware en la categoría de herramientas ha aumentado en

gran medida en 2012. Esta categoría incluye, por ejemplo, los kits para explotar webs y las

herramientas para banca online.

• La proporción de malware para Windows permaneció estable a un 99,8%, y la proporción de

malware programado en .NET ha aumentado significativamente.

• G Data SecurityLabs recibió 139.817 nuevos archivos de malware para Android – más de

cinco veces lo registrado en el primer semestre de 2012.

• Banca online: gracias en especial a Citadel, un clon de ZeuS, el propio ZeuS ha ocupado el

primer puesto, por delante de Bankpatch y Sinowal.

• Las amenazas de adware están perdiendo predominio en el terreno de malware para PC,

aunque está experimentando un impulso en los entornos móviles.

• Todas las áreas muestran que los atacantes aún desean obtener el máximo beneficio

económico con el menor esfuerzo realizado.

Eventos

• miniFlame se presenta como otro componente de malware para ciberespionaje.

• Los programas de malware Mahdi y Gauss se encuentran vinculados a tareas de espionaje.

• Los operadores de botnets cambian las comunicaciones de mando y control (Command and

Conquer) a la red Tor y usan el servicio Google Docs para la transmisión de comandos.

• La ingeniería social es un vector esencial en un gran número de ataques.

• En el segundo semestre de 2012, el Java de Oracle ocupó titulares de prensa en varias

ocasiones por sus graves fallos de seguridad.



Panorama para el primer semestre de 2013

• El número de nuevas cepas de malware seguirá permaneciendo a un nivel parecido.

• Las actividades relacionadas con los troyanos bancarios se realizarán aún más desde la

economía sumergida.

• También esperamos que los troyanos de banca utilicen la red Tor.

• Aparecerán nuevos métodos de ataque con nuevas tecnologías que se instalarán en

dispositivos móviles como, por ejemplo, la tecnología NFC. También esperamos que se

originen ataques para diversas plataformas desde los dispositivos móviles.

Malware: datos y cifras

El crecimiento disminuye en gran medida

Si lo comparamos con la primera mitad del año, el número total de nuevas cepas de malware ha

disminuido en el segundo semestre de 2012. G Data SecurityLabs registró 1.258.479 nuevos tipos de

malware en la segunda mitad de año1, lo que supone 123.488 menos que en el periodo de seis

meses anterior.

En general, 2012 fue bastante parecido a 2011, aunque no se ha alcanzado la cifra estimada de tres

millones de nuevos tipos de malware para 2012 anunciada en el último informe – la cifra total real

fue de 2.640.446. Por supuesto, esta es una cifra muy elevada y no debemos olvidar que estas

estadísticas se refieren a nuevas variantes de firmas, no al total de todas las cepas de malware

activas.

Durante los últimos seis meses, hemos observado una actividad que nos indica que los autores de

1 Las cifras en este informe se basan en la identificación del malware utilizando para ello firmas de virus basadas en parecidos en el

código de archivos dañinos. Una gran parte del código del malware es similar y se combina en familias, en donde las pequeñas

diferencias se denominan variantes. Básicamente, los archivos diferentes forman la base de sus propias familias. El recuento se basa en

las nuevas variantes de las firmas, también llamados tipos de malware, creadas en el segundo semestre de 2012

Figura 1: Número de nuevos programas de malware al año desde 2006



malware en algunas áreas se están ahora centrando en la calidad en vez de en la cantidad y que las

cifras arriba indicadas pueden ser una muestra de ello.

Categorías

Los programas de malware pueden clasificarse basándose en las acciones maliciosas que realizan en

un sistema infectado. Las categorías más importantes se muestran en la Figura .

La principal categoría aún es la de los troyanos, que han ocupado un indiscutible primer puesto

durante años. Estos programas incluyen una amplia gama de funciones maliciosas (como puede ser

ransomware, antivirus falso u otro tipo de malware instalado en ordenadores infectados a través de,

por ejemplo, puertas traseras).

El número de puertas traseras (backdoors) también ha aumentado paulatinamente a lo largo de la

última mitad de año, y esta categoría ocupa ahora el segundo puesto, por delante de programas

spyware y de los descargadores (downloaders).

El número de herramientas (tools) aumentó de nuevo en gran medida durante los últimos doce

meses, y aparece ahora en el sexto puesto en la clasificación por categoría. Esto se debe al cada vez

mayor número de kits para explotación de webs y a las herramientas para banca online.

La tendencia a la baja en nuevo malware de adware es también destacable. Esta tendencia a la baja

también se refleja en los ataques realizados en los usuarios de ordenadores, algo que

G Data SecurityLabs estudia en mayor detalle en la sección "Monitor de " .

Figura 2: Número de nuevos tipos de malware por categoría en el último periodo de seis meses



Plataformas: “¡Todos contra Windows!”

Al igual que ocurre con los programas informáticos de uso habitual, el malware se elabora

habitualmente para una plataforma específica. Durante años, la amplia mayoría de malware ha

tenido como objetivo la plataforma Windows2. Incluso a finales de 2012, el objetivo sigue siendo el

mismo: la proporción de desarrollos .NET (MSIL) dentro de este grupo ha crecido en gran medida,

tal y como se muestra en la Tabla 1.

Plataforma

Segundo semestre de 2012 Cuota

Primer semestre de 2012 Cuota

Diferencia entre

segundo semestre de 2012 y primer

semestre de 2012

Diferencia entre 2012 y 2011

1 Win 1,223,419 97.2% 1,360,200 98.4% -10.06% +2.37%

2 MSIL 33,020 2.6% 18,561 1.4%3 +77.90% +26.78%

3 WebScripts 1,087 0.1% 1,672 0.1% -34.99% -50.06%

4 Java 426 <0.1% 662 <0.1% -35.65% +95.33%

5 Scripts4 392 <0.1% 483 <0.1% -18.84% -39.99%

Tabla 1: Principales 5 plataformas en los dos últimos semestres

La comparación anual entre 2012 y 2011 indica que el número de nuestro scripts para web ha

disminuido un 50%. Sin embargo, esto no nos permite afirmar necesariamente que exista un peligro

menor proveniente de sitios web manipulados, porque las cifras aquí utilizadas se basan en nuevas

firmas y no en los ataques realmente registrados. La sección "Monitor de " le ofrece una información

más detallada sobre la situación real de las amenazas en el segundo semestre de 2012.

Por otra parte, el número de firmas que tienen como objetivo la plataforma Java casi se ha duplicado

en este mismo periodo. Una posible explicación de esto es la posibilidad de explotar de forma

continua sus fallos de seguridad, lo que colocó al Java de Oracle en el punto de mira de los medios

de comunicación5 varias veces en 2012, además del atractivo de esta plataforma como objetivo para

los ciberdelincuentes.

2 Entendemos por malware para Windows archivos ejecutables en formato PE declarados allí para Windows o archivos ejecutados

creados en Microsoft Intermediate Language (MSIL). El MSIL es el formato intermedio que se usa en el entorno .NET. La mayoría de

aplicaciones .NET se pueden utilizar en cualquier plataforma pero se usan casi exclusivamente en ordenadores con sistema operativo

Windows

3 En este punto se ha corregido un error de aproximación, desde el incorrecto 1,3% a 1,4%. 4 "Scripts" son archivos de procesamiento por lotes o archivos de procesamiento escritos para shell o programas escritos en lenguajes de

programación VBS, Perl, Python o Ruby

5 http://blog.gdatasoftware.com/blog/article/cve-2012-4681-a-java-0-day-is-going-to-hit-big-time.html

http://blog.gdatasoftware.com/blog/article/the-new-java-0-day-exploit-actively-endangers-web-surfers.html



Malware para Android

Pueden usarse diferentes valores para

contar el malware para Android. Un

método se basa en el estudio del

número de nuevos archivos

maliciosos. G Data SecurityLabs

registró un total de 139.818 nuevos

archivos de malware6 en la segunda

mitad de 2012, cinco veces más de lo

registrado en el semestre anterior.

En algunos casos, G Data SecurityLabs

recibe grupos de archivos que

contienen una gran cantidad de

nuevos archivos de malware

correspondientes a un periodo de

tiempo prolongado. Su asignación a

una fecha exacta no es siempre posible. Para ajustar estos picos a la situación real en el análisis, los

datos que no pueden ser asignados a fechas determinadas se distribuyen de manera uniforme a lo

largo de los meses anteriores.7 Los resultados de la distribución de muestran en la Figura 3.

Basándonos en las firmas correspondientes8, los archivos individuales se pueden asignar a ciertas

familias y a sus variantes. 88.900 de los nuevos archivos maliciosos se

identificaron claramente como malware9 y pueden relacionarse con

1.132 cepas diferentes de malware. Estas 1.132 variantes de malware

se basan en 314 familias diferentes de malware. En el último periodo

de seis meses, los expertos registraron 131 nuevas familias. En

algunos casos, G Data SecurityLabs recibe grupos de archivos que

contienen una gran cantidad de nuevos archivos de malware

correspondientes a un periodo de tiempo prolongado. Su

asignación a una fecha exacta no es siempre posible. La Tabla 2

muestra una lista de las familias más productivas, esto es, las familias con más variantes.

Tal y como ocurre en los análisis realizados en el campo de malware para PC, la mayoría del nuevo

malware para dispositivos móviles también está formado por troyanos10. La proporción de adware

entre el nuevo malware es relativamente baja. Sin embargo, los ataques con este tipo de malware

acaban de comenzar y esperamos más cantidad de nuevos archivos de malware en el futuro. Esto

6 El malware de Android puede identificarse basándose en varios archivos. El paquete de instalación (APK) contiene numerosos archivos,

que a su vez incluyen el código y las propiedades (entre otras cosas). En esta forma de hacer el recuento, las detecciones del APK y de

sus componentes respectivos se combinan en un archivo malicioso, incluso cuando hay varios archivos en nuestro conjunto

7 63,8% de nuevos archivos de malware en el Segundo semestre de 2012 se podría asignar a una fecha determinada. Los archivos

restantes se distribuyeron a lo largo de 3 ó 6 meses para los cálculos actuales. 8 La cuenta de firmas y variantes se basa en las firmas de productos de G Data MobileSecurity. 9 SW 139.818 muestras, 50.918 fueron identificadas como “potencialmente programas no deseados” y se detectaron con firmas

genéricas. 10 cf. Figura

Familia # variantes

FakeInst 90

SMSAgent 80

Ginmaster 63

Opfake 55

Agent 46

Tabla 2: Lista de familias de

Android con más variantes en el

segundo semestre de 2012

Figura 3: Distribución de nuevas muestras que podrían ser

asignadas al segundo semestre de 2012, después de los ajustes.



generará beneficios económicos para los atacantes mediante el suministro de publicidad y de

acciones parecidas, tal y como se describe en la sección “Nueva tendencia en 2012: adware” .

La estimación que afirma que el número de nuevos archivos de malware va a aumentar y que la

cantidad de familias también va a crecer fue, por lo tanto, correcta. También observamos nuevos

escenarios de ataques integrados en nuevas familias. Si desea más información sobre este asunto, vea la

sección “Android: un sistema operativo atractivo para usuarios y atacantes”.

Monitor de riesgos El número de ataques en usuarios de ordenadores protegidos con el uso de productos de G Data y

con MII11 activado también aumentó en el segundo semestre de 2012. El análisis muestra los

siguientes 10 tipos de ataques contra los que se protege más frecuentemente:

Puesto Nombre %

1 Win32:DNSChanger-VJ [Trj] 9.24%

2 Trojan.Wimad.Gen.1 3.10%

3 Win64:Sirefef-A [Trj] 1.99%

4 Trojan.Sirefef.HU 1.15%

5 Trojan.Sirefef.GY 1.11%

6 Trojan.Sirefef.HH 0.86%

7 Exploit.CVE-2011-3402.Gen 0.78%

8 Trojan.Sirefef.HK 0.75%

9 Generic.JS.Crypt1.C14787EE 0.61%

10 JS:Iframe-KV [Trj] 0.58%

La conclusión más importante en este terreno es que el troyano Sirefef, también conocido como Zero

Access, y sus variantes dominan los 10 principales malware durante este semestre. Ya nos hemos

ocupado de esta familia de troyanos y de su estructura modular en el informe del primer semestre del año,

cuando se explicó que su principal intención era cometer acciones fraudulentas haciendo clic en enlaces

maliciosos para, de esta forma, añadir dinero a las arcas de los atacantes.

A lo largo de los últimos seis meses de 2012, se han observado numerosas variantes de este malware

que, básicamente, dominan los diez primeros puestos de principales programas maliciosos. Si

combináramos todas estas variantes en una única firma, ocuparía definitivamente una de las

principales posiciones del listado y los cambios de los 10 primeros puestos de MII durante el

segundo semestre del año podrían distinguirse con mucha mayor claridad.

11 La Malware Information Initiative (MII) se basa en la potencia de la comunidad online y cualquier cliente que adquiera una solución de

seguridad de G Data puede participar en esta iniciativa. El requisito previo es que cualquier cliente active esta función en su solución de seguridad de G Data. Cuando se produce un ataque de un malware informático, se envía un importe totalmente anónimo a G Data SecurityLabs. G Data SecurityLabs recopila y analiza posterior y estadísticamente los datos de este malware.

Tabla 3: 10 principales ataques protegidos por MII en H2 2012



Sin embargo, en primer puesto observamos la gran cantidad de malware Win32:DNSChanger-VJ

[Trj] detectado. Este malware se suministra a menudo como una carga de la familia Sirefef que

también aparece en una posición destacada en las estadísticas.

Con la excepción de la función para cometer acciones fraudulentas haciendo clic en enlaces

maliciosos que presentan muchas cepas de Sirefef, el listado del segundo semestre de 2012 no

incluye ningún malware de adware explícito. Esto confirma la tendencia a la que ya nos referimos

en el informe del primer semestre del año y el desarrollo de las cifras basadas en firmas que se

muestra en la Figura .

De los 10 principales malware en este semestre, solo el de tipo Generic.JS.Crypt1.C14787EE

podría ser asignado a esta categoría en todos los sentidos. Esto se detecta cuando los sitios web

usan un script específico en Java para mostrar la publicidad. Sin embargo, también se utilizó para

generar de forma artificial clics para hacer dinero, siguiendo una estrategia de pago por clic

realizado.

Una nueva incorporación a la lista de principales malware es la del Exploit.CVE-2011-3402.Gen. La

firma para la explotación descrita en CVE-2011-3402 aparece cuando documentos (por ejemplo

documentos de Microsoft Word u otros archivos de texto manipulados) explotan una vulnerabilidad

para ejecutar funciones maliciosas adicionales en el ordenador de la víctima (como la descarga y

ejecución de malware adicional).



Análisis de sitios web

Categorización por asunto

Se han observado numerosas novedades en la segunda mitad de 2012 en relación al análisis de

categorías de sitios web clasificados como maliciosos12.

Las principales 10 categorías representan

el 88,6%, lo que supone un 17,9% más de

lo registrado en el primer semestre de

2012, abarcando casi toda la gama de

asuntos en los que se han centrado los

atacantes durante este semestre.

Los Foros representan una novedad que

aparece en el cuarto puesto, y los

Deportes, que ahora ocupan la octava

posición, son nuevas incorporaciones,

desplazando los Juegos y la Música de las

10 principales categorías.

En las tres primeras posiciones –

Tecnología y Telecomunicaciones,

Educación y Negocios, registramos un

aumento en la proporción de sitios web

que sufrieron un abuso de phishing de

PayPal. El sector de Viajes también fue

víctima de este tipo de phishing durante

este semestre, mientras que también se

observaron otros sitios fraudulentos

relacionados con banca online. Para tener

más información sobre banca online, vea la

sección con este mismo nombre en la

página 12.

Las categorías de Foros y Blogs se encuentran a menudos vinculadas al malware. Esto se debe en

gran medida a la gran cantidad de vulnerabilidades que existen en algunas aplicaciones de foros y

blogs muy utilizadas y explotadas por los atacantes, quienes utilizan máquinas para encontrar

plataformas vulnerables para, posteriormente, realizar ataques automáticos sobre ellas,

manipulando los sitios web para lograr sus objetivos. De esta forma, los atacantes pueden llegar a

una gran cantidad de víctimas potenciales.

No resulta sorprendente que la Pornografía también haya logrado un puesto en este listado. Sin

embargo, debe hacerse una clara distinción entre proveedores legítimos de contenido adulto y

sitios fraudulentos. Los sitios web de esta última categoría se distinguen a menudo en este campo

12 En este contexto, los sitios web maliciosos incluyen sitios de phishing además de sitios de malware. El recuento tampoco distingue

entre dominios establecidos específicamente para este objetivo y los sitios legítimos que han sido manipulados.

Figura 4: Sitios web maliciosos en el segundo semestre de 2012

en función de su contenido



de malware porque, a menudo, ofrecen actualizaciones necesarias para programas multimedia que

albergan malware. Sin embargo, también se han observado ataques de phishing en los que

operadores de sitios con mala fama intentan apoderarse de datos personales y de información de

tarjetas de crédito.

Los proveedores de confianza se encuentran preocupados por la protección de la privacidad y de la

seguridad de sus clientes y, a menudo, toman grandes medidas para proteger sus infraestructuras

de TI.

Conclusión:

El último periodo de seis meses hemos observado una concentración de relativamente pocos

asuntos. Sin embargo, eso no significa que el riesgo de las infecciones o de los fraudes se limite a los

sitios de dichas categorías.

Vemos de nuevo que los blogs ocupan una posición especialmente alta en la clasificación de

objetivos en los ataques, lo que confirma la tendencia detectada en previos estudios. Los ataques

masivos en sistemas de gestión de contenido obsoletos con vulnerabilidades son aún uno de los métodos más

populares y siguen estando muy presentes. La manipulación de estos sitios puede realizarse con

facilidad y puede afectar a una amplia gama de usuarios, ajustándose muy bien al modelo de

negocio de los ciberdelincuentes: un poco esfuerzo que genera rápidamente grandes beneficios.



Clasificación por emplazamiento de servidores

A la hora de de analizar los sitios web, además de ver los asuntos más populares en los sitios web

maliciosos, también resulta interesante estudiar la distribución local de los sitios web maliciosos, tal

y como se muestra en la Figura 5.

La principal conclusión de este análisis es que hay ciertas regiones del mundo que son

especialmente atractivas para albergar sitios web, gracias a sus infraestructuras de

telecomunicaciones. Entre dichas regiones se incluyen, en particular, los EE.UU., que albergó el

mayor número de sitios web maliciosos el año pasado, y también países de Europa central como

Alemania, Francia, España y Gran Bretaña. En comparación con el primer semestre de 2012, China

ha registrado un incremento y ahora tiene más sitios web atacantes que antes.

A lo largo del último semestre, ha disminuido el número de países que no ha participado en

absoluto. G Data SecurityLabs está registrando ahora tan solo unos pocos lugares en blanco en el

mapa, con un valor cero en el informe. Sin embargo, África Central es una zona que aún se

encuentra libre de sitios maliciosos, aunque el número de dichos sitios web ha aumentado en otros

países en el continente en comparación con el primer semestre de 2012. Sin embargo, teniendo en

cuenta el número bastante pequeño de todos los sitios web que se estima pueden estar albergados

en el continente - encontrándose la mayoría de ellos Sudáfrica (un informe13 afirma que el 0,27% de

los sitios registrados por Alexa se encontraron entre el millón de sitios más destacados)-, este

aumento merece ser indicado.

13 http://royal.pingdom.com/2012/06/27/tiny-percentage-of-world-top-1-million-sites-hosted-africa/

Figura 5: Mapa de coropletas con información sobre la frecuencia de sitios web maliciosos alojados en cada país

Emplazamiento

menos popular de

servidores

Emplazamiento

popular de servidores



Banca online En el terreno de los troyanos para banca online, observamos unos desarrollos interesantes durante

el segundo semestre de 2012. El total de infecciones se redujo continuamente y en diciembre solo

se registraron aproximadamente un tercio de las infecciones potenciales observadas en el mes de

julio.

Tabla 4: cuota de familias de

troyanos bancarios detectadas por

BankGuard en el tercer y cuarto

trimestre de 2012.

Una razón para explicar esto podría ser la detención de importantes ciberdelincuentes que

operaban con malware para banca online en el primer semestre del año14. Parece que hay tan pocos

programadores en este sector por lo que, prácticamente, el desarrollo de todos los troyanos para

estas actividades sufrió un duro golpe generalizado. Entre otras cosas, esto permitió que los

proveedores de antivirus mejoraran su posicionamiento. Básicamente, todos los troyanos para

banca conocidos registraron menos infecciones en la segunda mitad de 2012, tal y como mostramos

claramente en la Figura . SpyEye desapareció casi completamente y, gracias en particular al clon de

ZeuS –Citadel., ZeuS ocupó la primera posición, por delante de Bankpatch y Sinowal, aunque

también registró unas cifras muy inferiores en comparación con periodos anteriores.

Campañas destacadas

Nuevos troyanos, como Shylock y Tilon, siguen proporcionando un número de infecciones

prácticamente insignificante. Solo Tatanga logró registrar un número importante de infecciones.

14 G Data SecurityLabs informó sobre esto en el Informe de G Data sobre Malware del primer semestre de 2012.

Tercer trimestre de 2012

Bankpatch 29.1%

Citadel 25.5%

ZeuS 23.3%

Sinowal 16.3%

Spyeye 3.1%

Otros 2.7%

Cuarto trimestre de 2012

Citadel 24.0%

Bankpatch 22.8%

ZeuS 17.9%

Sinowal 13.2%

Tatanga 10.1%

Otros 12.0% Figura 6: Proporción de familias de troyanos para banca detectados por

BankGuard en el segundo semestre de 2012



Otro caso interesante es el del troyano Prinimalka15. Este es un ataque coordinado y a gran escala

para clientes de bancos americanos que se conoce con el nombre “Proyecto Blitzkrieg”. Sin

embargo, aún se desconoce cuándo va a comenzar dicho ataque. Hasta la fecha, G Data no ha

registrado ninguna tasa de infección importante.

Un ataque con éxito sobre objetivos determinados fue el de “Operación High Roller”, que se detectó

a principios del segundo semestre del año. Técnicamente, contaba con el uso de antiguos troyanos

como ZeuS y SpyEye, aunque se mejoraron los algoritmos de ataque de tal forma que lograron

burlar incluso la autenticación con tarjetas equipadas con chip sin ser detectados.

La “Operación High Roller” se dirigió a cuentas bancarias con gran cantidad de dinero depositado

como, por ejemplo, las cuentas empresariales. De esta forma, se logró transferir grandes cantidades

de dinero desde esas cuentas a las llamadas “mulas de dinero”. Se desconoce la cantidad total real,

pero se ha informado que podrían encontrarse entre los 60 millones y los 2.000 millones de euros.

Parte del dinero fue probablemente bloqueado por los bancos, pero la cantidad total robada es muy

probable que haya alcanzado unas dimensiones desconocidas hasta ahora. La tecnología de G Data

BankGuard protege contra este tipo de ataque.

Previsiones

No está muy claro el troyano para banca que va destacar en 2013. Bankpatch registró un nivel de

infección disminución, por lo que el futuro del troyano parece cuestionable. El autor de Citadel, una

variante de ZeuS, parece estar oculto en estos momentos, por lo que parece improbable que

volvamos a registrar los mismos malware en los primeros puestos del listado. Estamos seguros que

vamos a registrar nuevos clones de Zeus, pero aún tenemos que ver si van a conseguir las tasas de

infección que logró el Citadel.

Existen indicios que nos muestran la posible vuelta de Carberp, aunque este malware nunca

registró unas tasas de infección especialmente altas en los análisis realizados anteriormente. Sin

15 http://krebsonsecurity.com/2012/10/project-blitzkrieg-promises-more-aggressive-cyberheists-against-u-s-banks/

https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/

Figura 7: cambio en el número de infecciones de los principales 5 troyanos para banca en

la segunda mitad de 2012



embargo, de nuevo parece estar comercializándose en el mercado negro y el descubrimiento de

una nueva variante móvil de Carberp16 es otro indicador de esta actividad.

En general, sin embargo, no esperamos necesariamente que el número reducido de infecciones de

troyanos bancarios disminuya aún más en 2013. La gran cantidad de dinero que se puede conseguir

potencialmente es posible que siga resultando algo muy atractivo para una gran cantidad de

delincuentes. Sin embargo, es muy probable que las personas detrás de estas actividades corran el

riesgo de tomarse más en serio las posibles consecuencias legales de sus acciones.

Pero no solo las personas detrás de estos troyanos, sino también los responsables de su uso real se

verán alarmadas por el éxito logrado por las investigaciones de las autoridades. Por ello se espera

que el sector de la economía sumergida se preocupe más por la seguridad. Entre otras cosas, hay un

debate en este sector de la economía sumergida sobre si deben dejar que los troyanos bancarios se

comuniquen a través de la red Tor17, como fue el caso reciente de otros botnets como Skynet.

Hasta la fecha, Europa del Este ha sido el centro del comercio con troyanos bancarios. Como todas

las partes involucradas se han sentido muy seguras en cuanto a la persecución de sus actividades, el

comercio en Internet se ha realizado de manera bastante abierta. En estas regiones, sin embargo, se

han puesto en marcha una serie de acciones para enviar un mensaje, mostrando que esta aparente

seguridad no existe. Por esta razón es muy probable que el comercio se realice en un nivel incluso

más sumergido, y es posible que el mercado de troyanos bancarios se traslade a países en donde es

menos probable que estas actividades sean perseguidas por las autoridades.

16 Ver Figura 8. 17 http://blog.gdatasoftware.com/blog/article/botnet-command-server-hidden-in-tor.html



Android: un sistema operativo atractivo para usuarios y

atacantes En la segunda mitad de 2012, G Data también se centró en las amenazas actuales que afectan a

dispositivos móviles y smartphones. El aún muy inmaduro mercado siguió ofreciendo a los

atacantes una amplia serie de oportunidades para crear y difundir malware utilizando para ello

sencillos mecanismos. Los incidentes con malware en el sector móvil a lo largo del último semestre

incluyeron ligeras variantes de malware bien conocido, además del empleo de malware con nuevo

enfoque. En general, el malware se ha hecho más sofisticado, complejo y técnicamente avanzado.

También se observó un destacado aumento en el número de nuevas muestras de malware en este

semestre18.

Nueva tendencia en 2012: adware

La evolución en adware para el sector de los dispositivos móviles contrasta con nuestras

conclusiones en relación con el adware en el sector de malware para PC 19. Lo mismo que antes, la

forma más fácil para que los autores de malware envíen mensajes de texto potencialmente muy

caros es hacerlo de una vez o a intervalos. Sin embargo, la instalación requiere unas autorizaciones

que, al menos con los proveedores de mercados de terceras partes, pueden confundir al usuario.

Las aplicaciones en Google Play Store siempre precisan la autorización del usuario, pero una actitud

de cierto descuido hace que los usuarios opten frecuentemente por las aplicaciones de mercados

no oficiales, aceptando las autorizaciones necesarias para acceder a las aplicaciones, algo que sigue

constituyendo todo un problema. Desde la versión 4.2 de Android, los usuarios tienen que leer /

hacer clic a toda la lista de autorizaciones requeridas antes de que la aplicación pueda instalarse. Sin

embargo, esto no ha tenido efecto para la difusión generalizada de una mentalidad para “hacer clic

y olvidarse de las consecuencias”.

Ha aparecido un modelo de negocio nuevo y lucrativo que incorpora incluso aplicaciones que

aparecen en los listados de Google Play Store y que permiten a los atacantes ofrecer servicios

potencialmente sujetos al cobro de tarifas sin contar la autorización necesaria por parte del usuario,

únicamente con el uso de adware. En primer lugar, esto puede hacerse con tan solo mostrar

publicidad o utilizando software tradicional. Sin embargo, estos anuncios se han usado de forma

mucho más agresiva para hacer que los usuarios instalen software adicional (malicioso).

18 Ver capítulo “ Malware para Android“ en página 6. 19 Ver página 1 y página 8.

Figura 8: Selección de malware para dispositivos móviles que apareció en 2012



En la segunda mitad de 2012, los usuarios de Android tuvieron que

hacer frente de manera predominante al troyano

Android.Trojan.FakeDoc.A, o FakeDoc.A en forma abreviada20.

Oculto en aplicaciones como “Battery Doctor”, el troyano espía los

datos del dispositivo – datos de contactos, por ejemplo. El ámbito

funcional se limita a mostrar el nivel de la batería y a gestionar las

conexiones de Wi-Fi y Bluetooth del dispositivo móvil.

Desde un punto de vista técnico, lo que ocurre en segundo plano

es mucho más interesante. Además de la aplicación, el troyano

instala un servicio de adware que muestra unos avisos en el

smartphone, que son unos anuncios vinculados a malware y a

sitios web dudosos. Lo más destacado es que el servicio adicional

instalado permanece en el dispositivo incluso después de eliminar

el "Battery Doctor". Por esta razón, los usuarios no pueden saber la

aplicación que inició originalmente este servicio y lo que tienen

que desinstalar para eliminar también dicho servicio.

Los autores del malware Android.Trojan.MMarketPay.A, llamado

MMarketpay.A en forma abreviada, utilizaron un mecanismo parecido para difundir malware

adicional. Las aplicaciones con troyanos – como, por ejemplo, las aplicaciones “Go Weather”, “Travel

Sky” y “ES Datei Explorer” – se ofrecían predominantemente para descarga a través de sitios web

chinos y en mercados de terceras partes.

En este caso, una aplicación para conocer las previsiones

meteorológicas solo ofrecía una cantidad limitada de funciones y

escasa información meteorológica. Además de las funciones

maliciosas como, por ejemplo, los servicios de pago, que hacía que los

usuarios realizaran grandes compras en el mercado chino sin su

conocimiento21, el MMarketpay.A publicitaba software adicional

infectado con troyanos.

La propagación del software (malicioso) a través de publicidad en

aplicaciones con troyanos ganó terreno en 2012. Lo especial de este

tipo de adware es que ofrece software apropiado para cada país,

basándose en la dirección IP del usuario. Cuando los usuarios hacen

clic en la oferta, el adware no les conduce a Google Play Store, sino a

mercados de terceras partes situados en Asia o a otros sitios web – en

su mayoría fuentes de descargas inseguras y de poca confianza. Los

clientes que permiten a su dispositivo Android la instalación de

software de sitios desconocidos no reciben ningún aviso de las

fuentes cuestionables en ese tipo de situaciones.

Incluso la función maliciosa de pago en MMarketpay.A descrita

anteriormente se limita a China, pero ofrece un panorama

20 G Data informó detalladamente sobre FakeDoc en el Informe sobre Malware 1/2012. 21 http://blog.gdatasoftware.com/blog/article/new-android-malware-goes-on-a-shopping-spree-at-your-expense.html

Pantallazo 1: Aplicación Go

Weather infectada con el

troyano MMarketpay.A.

Pantallazo 2: Aplicaciones

situadas en un servidor chino

publicitada desde la aplicación



desalentador para el futuro. Solo son necesarias algunas modificaciones para que este tipo de

ataque pueda ser usado en los mercados europeos y americanos. Por ello es muy posible que una

versión modificada de ese tipo de aplicación maliciosa aparezca en Europa para dirigirse a clientes

de proveedores móviles europeos. En este terreno, la comodidad del cliente - que desea acceder a

los mercados con la máxima facilidad a los mercados – representa un punto de vista contrapuesto a

la seguridad de los dispositivos que utiliza.

Malware en Google Play Store

Aunque Google ha desarrollado el sistema Google Bouncer, que ha estado comprobando de manera

oficial aplicaciones entregadas a Google Play desde principios de 2012, aún se ha encontrado

malware en Google Play en el segundo semestre de 2012. Un ejemplo de malware que ha penetrado

en Google Play Store e incluso en Apple App Store, a pesar de las medidas de seguridad existentes,

es el Android.Trojan.FindAndCall.A, o FindAndCall.A en forma abreviada.

Cuando se ejecuta la aplicación, el malware FindAndCall.A envía los contactos del usuario a un

servidor definido por el atacante sin precisar interacción alguna por parte del usuario.

Posteriormente, el servidor envía spam a través de SMS, además del enlace a la aplicación maliciosa

a todas las entradas disponibles. Todo esto sucede con el usuario como remitente, lo que representa

un potencial de alto riesgo. La fuente de los mensajes SMS parece ser una fuente conocida y de

confianza y los receptores de los SMS se ven tentados a seguir las “recomendaciones” del remitente.

Un malware incluso más refinado

Los comentarios sobre el adware que ha surgido han indicado lo que parece ser una nueva

tendencia: el malware puede parecer sencillo en un primer momento, pero cuenta con opciones

para ampliar el alcance de sus funciones posteriormente. Por ejemplo, el FindAndCall.A contenía

una función para cargar la localización del GPS del usuario a un servidor predefinido, aunque no ha

comenzado a usarla aún.

Los llamados kits de crimeware, que facilitan en gran medida el acceso al malware para los

delincuentes, también facilita el profesionalismo del malware en dispositivos móviles. El malware

construido usando componentes programados de forma profesional para malware normalmente

funciona de manera inmediata. Al contrario de lo que ocurre con software amateur mal

programado, es más probable que el software elaborado con kit de crimeware permanezca sin ser

detectado durante más tiempo. En el campo de malware para PC, el principio detrás de estos kits

lleva conociéndose durante mucho tiempo y es conocimiento generalizado. El resultado del uso de

Pantallazo 3: Find And Call en Google Play Pantallazo 4: Find And

Call en the Apple App

Store



estos kits en el terreno de los PC puede verse principalmente en el desarrollo de troyanos, tal y como

se indica en el gran número de nuevas variantes de firmas que se muestran en la Figura de la

página 4.

Los atacantes que carecen de las habilidades de programación necesarias o que desean acceder al

nuevo malware para realizar rápidamente sus acciones, solo tienen que pagar por las herramientas

necesarias para crear los programas maliciosos. El principio subyacente detrás de estos kits, en

donde las funciones de malware deseadas pueden ser seleccionadas e incluidas en una aplicación

de malware, permite que el malware y sus funciones maliciosas incrementen su complejidad.

Alrededor de la misma fecha que el FindAndCall.A estaba causando furor, científicos

estadounidenses publicaron un informe para dar a conocer el desarrollo de una aplicación segura y

legítima, equipándola con funciones muy sospechosas y ecaneándola varias veces con el Bouncer

de Google. Siempre que los desarrolladores no equiparan las funciones maliciosas con valores muy

poco realistas (por ejemplo, un contacto de servidores cada segundo en vez de uno cada 15

minutos), la aplicación no parecía sospechosa al Bouncer automático y, por lo tanto, permanecía

como válidamente aceptado en Google Play Store22. Un análisis de este tipo muestra de nuevo que

resulta difícil para los usuarios detectar malware programado de forma sofisticada, incluso cuando

proviene de un laboratorio de investigaciones. Incluso los mecanismos de seguridad de Google solo

intervinieron en una etapa tardía para impedir el peligro en su propia tienda de aplicaciones. Por

esta razón, resulta ahora esencial contar con una protección adicional para dispositivos móviles en

forma de software completo para garantizar la seguridad de los equipos.

Botnets en el dominio público

En el terreno de los equipos de sobremesa, los botnets se conocen desde hace mucho tiempo. Los

atacantes los utilizan, por ejemplo, para enviar spam, para atacar sitios web o servicios (DDoS) o para

espiar datos. El tamaño de los botnets puede variar de unos pocos ordenadores infectados a miles

de los llamados zombis.

22 http://media.blackhat.com/bh-us-12/Briefings/Percoco/BH_US_12_Percoco_Adventures_in_Bouncerland_WP.pdf

Figura 9: Instalación potencial de un botnet en un entorno móvil

Atacante Comando a bot: SMS/llamada de pago

Servicio de pago

Factura Pago

Dispositivo infectado

SMS/llamada de pago



Los dispositivos móviles también pueden transformarse en bots cuando los atacantes obtienen

acceso completo – lo que se conoce como acceso root – a los dispositivos. Para hacerlo, explotan

vulnerabilidades de seguridad no parcheadas en el sistema operativo.

La puerta trasera Android.Backdoor.SpamSold.A, o SpamSoldier.A en forma abreviada, engaña a los

usuarios con una copia pirata del popular juego Angry Birds. La aplicación infectada se ofrece para

descarga en los mercados no oficiales o en sitios web. Cuando la puerta trasera llega al dispositivo,

su servidor de mando y control envía una lista con números de teléfono y, sin que lo sepa el usuario,

manda un texto predefinido en forma de mensajes cortos a expensas del usuario. Cuando todos los

mensajes SMS se han enviado, el dispositivo accede a una nueva lista. El usuario no es consciente de

esta actividad hasta que llegue la siguiente cuenta de teléfono. Por esta razón, el daño puede ser

tremendo. También puede utilizarse un botnet para permitir a los dispositivos individuales llamar a

números de lata tarificación. El procedimiento es parecido al descrito anteriormente. Sin embargo,

como estos servicios son mucho más caros, los usuarios se exponen a unas perdidas potenciales

mucho mayores. En lo que se refiere al uso de botnets para dispositivos móviles, el objetivo es claro:

conseguir beneficios económicos rápida y sencillamente23.

Previsiones

Con 1,3 millones de nuevos dispositivos

activados diariamente, Android es un objetivo

cada vez más destacado para numerosos

vectores de ataque. El malware ya conocido

seguirá apareciendo en formas modificadas.

Según un estudio de Flurry, más de 17,4 millones de nuevos dispositivos móviles iOS y Android

fueron activados el día de Navidad (25 de diciembre de 2012)24.

Por ello, además del espionaje de datos, el envío de mensajes SMS a números de alta tarificación

seguirá siendo la función maliciosa dominante en 2013. Las nuevas tecnologías instaladas en

dispositivos también abrirán nuevas oportunidades para atacar a los usuarios y a sus dispositivos

móviles. En 2011, Google presentó su nuevo modelo de negocio, Google Wallet25, en el que

muchas de las principales organizaciones de tarjetas de crédito han estado participando desde

agosto de 2012.

Google Wallet es un sistema de pago móvil que permite a los usuarios almacenar tarjetas de

crédito, tarjetas de débito, tarjetas de cliente y vales de descuento en sus smartphones. El

dispositivo móvil puede utilizar esta información para pagar de forma rápida y fácil en los

establecimientos (oficialmente solo en EE.UU. por el momento) o en tiendas online que se visiten

cuando se navegue por la Web con el smartphone. Para el pago en los establecimientos, el servicio

usa la tecnología Near Field Communication (NFC en forma abreviada, implementada por Android

a partir de la versión 2.3). Esta tecnología permite pagar rápida y cómodamente con tan solo colocar

el teléfono cerca de un dispositivo habilitado para este tipo de pagos (PayPass) cuando se realice la

compra.

Desde 2012, muchos smartphones ya se ofrecen de forma automática con NFC, haciendo esta

23 Ver Figura . 24 http://blog.flurry.com/bid/92719/Christmas-2012-Shatters-More-Smart-Device-and-App-Download-Records 25 http://www.google.com/wallet/faq.html

Pantallazo 5: Tweet de Andy Rubin sobre la activación

de dispositivos Android



tecnología incluso más atractiva para los atacantes. Sin embargo, el uso de tecnología NFC no se

encuentra disponible todavía en todos los lugares, por lo que esta amenaza no tiene un papel

destacado en estos momentos. Asimismo, muchos usuarios no son conscientes de las prestaciones

y de los riesgos que pueden correr con el uso de servicios NFC. Aunque esta tecnología es

relativamente inmadura, también se han encontrado vulnerabilidades en Google Wallet, por

ejemplo, lo que hace inseguros los pagos de las transacciones realizadas26. Como algo de

información se guarda y se accede fuera de la aplicación, los hackers pueden interceptar el flujo de

datos y acceder a información crítica sobre seguridad.

En 2013, los delincuentes seguirán pendientes de los dispositivos móviles. Las grandes ventas de

dispositivos, que aún se encuentran en aumento, siguen incrementando el atractivo de Android

como un objetivo para los delincuentes. Nuevas tecnologías, como la NFC - que siguen

difundiéndose (aunque lentamente) -, las conexiones de telefonía móvil más rápidas y los mayores

volúmenes de datos ofrecen numerosa opciones para realizar ataques en 2013.

Sin embargo, los atacantes seguirán utilizando estos mecanismos para sus ataques siempre que

puedan obtener beneficios rápidos con el uso de métodos sencillos (como, por ejemplo, una copia

con troyanos en aplicaciones populares). Si el análisis de rentabilidad indica la existencia de

demasiados costes para los atacantes, se crearán una mayor cantidad de nuevos escenarios. En este

terreno, los atacantes de dispositivos móviles actúan de la misma forma que lo hacen los atacantes

de PC tradicionales.

26 http://bgr.com/2012/02/10/google-wallet-hacked-again-new-exploit-doesnt-need-root-access-video/

g data malware report informe semestral julio – diciembre ... malwar… · comparación con los...

Documents