G Data_MWR_H2_2012_ES2

Comentarios

Transcripción

G Data_MWR_H2_2012_ES2
G Data
Malware Report
Informe semestral
Julio – diciembre de 2012
G Data SecurityLabs
G Data MalwareReport H2/2012
Contenido
Aspectos destacados ........................................................................................................................... 2
Malware: datos y cifras ........................................................................................................................ 3
El crecimiento disminuye en gran medida .......................................................................................................... 3
Categorías ........................................................................................................................................................................ 4
Plataformas: “¡Todos contra Windows!”................................................................................................................ 5
Malware para Android................................................................................................................................................. 6
Monitor de riesgos ............................................................................................................................... 7
Análisis de sitios Web .......................................................................................................................... 9
Categorización por asunto ........................................................................................................................................ 9
Categorización por emplazamiento de servidores........................................................................................ 11
Banca online ....................................................................................................................................... 12
Campañas destacables ............................................................................................................................................ 12
Previsiones.................................................................................................................................................................... 13
Android: un sistema operativo atractivo para usuarios y atacantes.............................................. 15
Nueva tendencia en 2012: adware ...................................................................................................................... 15
Malware en Google Play Store .............................................................................................................................. 17
Un malware más refinado ....................................................................................................................................... 17
Botnets en el terreno móvil .................................................................................................................................... 18
Previsiones.................................................................................................................................................................... 19
Copyright © 2013 G Data Software AG
1
G Data MalwareReport H2/2012
Aspectos destacados
•
La cantidad total de nuevo malware ha disminuido en el segundo semestre de 2012 en
comparación con los primeros seis meses del año. 2012 fue un año parecido a 2011, con un
ligero incremento del 2,4%.
•
Como media, se crearon 6.915 nuevas cepas de malware cada día.
•
El número de nuevas familias (2.483 en el segundo semestre) es ligeramente superior al
registrado durante la primera mitad del año.
•
En términos de categorías, aumentó el número de puertas traseras (backdoors), un tipo de
ataque que ha pasado a ocupar la segunda categoría más popular, desplazando al spyware y
a los descargadores (downloaders) a la tercera y cuarta posición respectivamente.
•
El número de nuevas cepas de malware en la categoría de herramientas ha aumentado en
gran medida en 2012. Esta categoría incluye, por ejemplo, los kits para explotar webs y las
herramientas para banca online.
•
La proporción de malware para Windows permaneció estable a un 99,8%, y la proporción de
malware programado en .NET ha aumentado significativamente.
•
G Data SecurityLabs recibió 139.817 nuevos archivos de malware para Android – más de
cinco veces lo registrado en el primer semestre de 2012.
•
Banca online: gracias en especial a Citadel, un clon de ZeuS, el propio ZeuS ha ocupado el
primer puesto, por delante de Bankpatch y Sinowal.
•
Las amenazas de adware están perdiendo predominio en el terreno de malware para PC,
aunque está experimentando un impulso en los entornos móviles.
•
Todas las áreas muestran que los atacantes aún desean obtener el máximo beneficio
económico con el menor esfuerzo realizado.
Eventos
•
miniFlame se presenta como otro componente de malware para ciberespionaje.
•
Los programas de malware Mahdi y Gauss se encuentran vinculados a tareas de espionaje.
•
Los operadores de botnets cambian las comunicaciones de mando y control (Command and
Conquer) a la red Tor y usan el servicio Google Docs para la transmisión de comandos.
•
La ingeniería social es un vector esencial en un gran número de ataques.
•
En el segundo semestre de 2012, el Java de Oracle ocupó titulares de prensa en varias
ocasiones por sus graves fallos de seguridad.
Copyright © 2013 G Data Software AG
2
G Data MalwareReport H2/2012
Panorama para el primer semestre de 2013
•
El número de nuevas cepas de malware seguirá permaneciendo a un nivel parecido.
•
Las actividades relacionadas con los troyanos bancarios se realizarán aún más desde la
economía sumergida.
•
También esperamos que los troyanos de banca utilicen la red Tor.
•
Aparecerán nuevos métodos de ataque con nuevas tecnologías que se instalarán en
dispositivos móviles como, por ejemplo, la tecnología NFC. También esperamos que se
originen ataques para diversas plataformas desde los dispositivos móviles.
Malware: datos y cifras
El crecimiento disminuye en gran medida
Si lo comparamos con la primera mitad del año, el número total de nuevas cepas de malware ha
disminuido en el segundo semestre de 2012. G Data SecurityLabs registró 1.258.479 nuevos tipos de
malware en la segunda mitad de año1, lo que supone 123.488 menos que en el periodo de seis
meses anterior.
Figura 1: Número de nuevos programas de malware al año desde 2006
En general, 2012 fue bastante parecido a 2011, aunque no se ha alcanzado la cifra estimada de tres
millones de nuevos tipos de malware para 2012 anunciada en el último informe – la cifra total real
fue de 2.640.446. Por supuesto, esta es una cifra muy elevada y no debemos olvidar que estas
estadísticas se refieren a nuevas variantes de firmas, no al total de todas las cepas de malware
activas.
Durante los últimos seis meses, hemos observado una actividad que nos indica que los autores de
1
Las cifras en este informe se basan en la identificación del malware utilizando para ello firmas de virus basadas en parecidos en el
código de archivos dañinos. Una gran parte del código del malware es similar y se combina en familias, en donde las pequeñas
diferencias se denominan variantes. Básicamente, los archivos diferentes forman la base de sus propias familias. El recuento se basa en
las nuevas variantes de las firmas, también llamados tipos de malware, creadas en el segundo semestre de 2012
Copyright © 2013 G Data Software AG
3
G Data MalwareReport H2/2012
malware en algunas áreas se están ahora centrando en la calidad en vez de en la cantidad y que las
cifras arriba indicadas pueden ser una muestra de ello.
Categorías
Los programas de malware pueden clasificarse basándose en las acciones maliciosas que realizan en
un sistema infectado. Las categorías más importantes se muestran en la Figura .
La principal categoría aún es la de los troyanos, que han ocupado un indiscutible primer puesto
durante años. Estos programas incluyen una amplia gama de funciones maliciosas (como puede ser
ransomware, antivirus falso u otro tipo de malware instalado en ordenadores infectados a través de,
por ejemplo, puertas traseras).
El número de puertas traseras (backdoors) también ha aumentado paulatinamente a lo largo de la
última mitad de año, y esta categoría ocupa ahora el segundo puesto, por delante de programas
spyware y de los descargadores (downloaders).
El número de herramientas (tools) aumentó de nuevo en gran medida durante los últimos doce
meses, y aparece ahora en el sexto puesto en la clasificación por categoría. Esto se debe al cada vez
mayor número de kits para explotación de webs y a las herramientas para banca online.
La tendencia a la baja en nuevo malware de adware es también destacable. Esta tendencia a la baja
también se refleja en los ataques realizados en los usuarios de ordenadores, algo que
G Data SecurityLabs estudia en mayor detalle en la sección "Monitor de " .
Figura 2: Número de nuevos tipos de malware por categoría en el último periodo de seis meses
Copyright © 2013 G Data Software AG
4
G Data MalwareReport H2/2012
Plataformas: “¡Todos contra Windows!”
Al igual que ocurre con los programas informáticos de uso habitual, el malware se elabora
habitualmente para una plataforma específica. Durante años, la amplia mayoría de malware ha
tenido como objetivo la plataforma Windows2. Incluso a finales de 2012, el objetivo sigue siendo el
mismo: la proporción de desarrollos .NET (MSIL) dentro de este grupo ha crecido en gran medida,
tal y como se muestra en la Tabla 1.
1
2
3
4
5
Plataforma
Win
MSIL
WebScripts
Java
Scripts4
Segundo
semestre
de 2012 Cuota
1,223,419 97.2%
33,020
2.6%
1,087
0.1%
426
<0.1%
392
<0.1%
Primer
semestre
de 2012
1,360,200
18,561
1,672
662
483
Cuota
98.4%
1.4%3
0.1%
<0.1%
<0.1%
Diferencia
entre
segundo Diferencia
semestre
entre
de 2012 y
2012 y
primer
2011
semestre
de 2012
-10.06%
+2.37%
+77.90%
+26.78%
-34.99%
-50.06%
-35.65%
+95.33%
-18.84%
-39.99%
Tabla 1: Principales 5 plataformas en los dos últimos semestres
La comparación anual entre 2012 y 2011 indica que el número de nuestro scripts para web ha
disminuido un 50%. Sin embargo, esto no nos permite afirmar necesariamente que exista un peligro
menor proveniente de sitios web manipulados, porque las cifras aquí utilizadas se basan en nuevas
firmas y no en los ataques realmente registrados. La sección "Monitor de " le ofrece una información
más detallada sobre la situación real de las amenazas en el segundo semestre de 2012.
Por otra parte, el número de firmas que tienen como objetivo la plataforma Java casi se ha duplicado
en este mismo periodo. Una posible explicación de esto es la posibilidad de explotar de forma
continua sus fallos de seguridad, lo que colocó al Java de Oracle en el punto de mira de los medios
de comunicación5 varias veces en 2012, además del atractivo de esta plataforma como objetivo para
los ciberdelincuentes.
2
Entendemos por malware para Windows archivos ejecutables en formato PE declarados allí para Windows o archivos ejecutados
creados en Microsoft Intermediate Language (MSIL). El MSIL es el formato intermedio que se usa en el entorno .NET. La mayoría de
aplicaciones .NET se pueden utilizar en cualquier plataforma pero se usan casi exclusivamente en ordenadores con sistema operativo
Windows
3
En este punto se ha corregido un error de aproximación, desde el incorrecto 1,3% a 1,4%.
"Scripts" son archivos de procesamiento por lotes o archivos de procesamiento escritos para shell o programas escritos en lenguajes de
programación VBS, Perl, Python o Ruby
4
5
http://blog.gdatasoftware.com/blog/article/cve-2012-4681-a-java-0-day-is-going-to-hit-big-time.html
http://blog.gdatasoftware.com/blog/article/the-new-java-0-day-exploit-actively-endangers-web-surfers.html
Copyright © 2013 G Data Software AG
5
G Data MalwareReport H2/2012
Malware para Android
Pueden usarse diferentes valores para
contar el malware para Android. Un
método se basa en el estudio del
número de nuevos archivos
maliciosos. G Data SecurityLabs
registró un total de 139.818 nuevos
archivos de malware6 en la segunda
mitad de 2012, cinco veces más de lo
registrado en el semestre anterior.
En algunos casos, G Data SecurityLabs
recibe grupos de archivos que
contienen una gran cantidad de
nuevos archivos de malware
Figura 3: Distribución de nuevas muestras que podrían ser
correspondientes a un periodo de
asignadas al segundo semestre de 2012, después de los ajustes.
tiempo prolongado. Su asignación a
una fecha exacta no es siempre posible. Para ajustar estos picos a la situación real en el análisis, los
datos que no pueden ser asignados a fechas determinadas se distribuyen de manera uniforme a lo
largo de los meses anteriores.7 Los resultados de la distribución de muestran en la Figura 3.
Basándonos en las firmas correspondientes8, los archivos individuales se pueden asignar a ciertas
familias y a sus variantes. 88.900 de los nuevos archivos maliciosos se
Familia
# variantes
identificaron claramente como malware9 y pueden relacionarse con
FakeInst
90
1.132 cepas diferentes de malware. Estas 1.132 variantes de malware
SMSAgent
80
se basan en 314 familias diferentes de malware. En el último periodo
Ginmaster
63
de seis meses, los expertos registraron 131 nuevas familias. En
Opfake
55
algunos casos, G Data SecurityLabs recibe grupos de archivos que
Agent
46
contienen una gran cantidad de nuevos archivos de malware
Tabla 2: Lista de familias de
Android con más variantes en el
correspondientes a un periodo de tiempo prolongado. Su
segundo semestre de 2012
asignación a una fecha exacta no es siempre posible. La Tabla 2
muestra una lista de las familias más productivas, esto es, las familias con más variantes.
Tal y como ocurre en los análisis realizados en el campo de malware para PC, la mayoría del nuevo
malware para dispositivos móviles también está formado por troyanos10. La proporción de adware
entre el nuevo malware es relativamente baja. Sin embargo, los ataques con este tipo de malware
acaban de comenzar y esperamos más cantidad de nuevos archivos de malware en el futuro. Esto
6
El malware de Android puede identificarse basándose en varios archivos. El paquete de instalación (APK) contiene numerosos archivos,
que a su vez incluyen el código y las propiedades (entre otras cosas). En esta forma de hacer el recuento, las detecciones del APK y de
sus componentes respectivos se combinan en un archivo malicioso, incluso cuando hay varios archivos en nuestro conjunto
7
63,8% de nuevos archivos de malware en el Segundo semestre de 2012 se podría asignar a una fecha determinada. Los archivos
restantes se distribuyeron a lo largo de 3 ó 6 meses para los cálculos actuales.
8
La cuenta de firmas y variantes se basa en las firmas de productos de G Data MobileSecurity.
9
SW 139.818 muestras, 50.918 fueron identificadas como “potencialmente programas no deseados” y se detectaron con firmas
genéricas.
10
cf. Figura
Copyright © 2013 G Data Software AG
6
G Data MalwareReport H2/2012
generará beneficios económicos para los atacantes mediante el suministro de publicidad y de
acciones parecidas, tal y como se describe en la sección “Nueva tendencia en 2012: adware” .
La estimación que afirma que el número de nuevos archivos de malware va a aumentar y que la
cantidad de familias también va a crecer fue, por lo tanto, correcta. También observamos nuevos
escenarios de ataques integrados en nuevas familias. Si desea más información sobre este asunto, vea la
sección “Android: un sistema operativo atractivo para usuarios y atacantes”.
Monitor de riesgos
El número de ataques en usuarios de ordenadores protegidos con el uso de productos de G Data y
con MII11 activado también aumentó en el segundo semestre de 2012. El análisis muestra los
siguientes 10 tipos de ataques contra los que se protege más frecuentemente:
Puesto
Nombre
%
1
Win32:DNSChanger-VJ [Trj]
9.24%
2
Trojan.Wimad.Gen.1
3.10%
3
Win64:Sirefef-A [Trj]
1.99%
4
Trojan.Sirefef.HU
1.15%
5
Trojan.Sirefef.GY
1.11%
6
Trojan.Sirefef.HH
0.86%
7
Exploit.CVE-2011-3402.Gen
0.78%
8
Trojan.Sirefef.HK
0.75%
9
Generic.JS.Crypt1.C14787EE
0.61%
10
JS:Iframe-KV [Trj]
0.58%
Tabla 3: 10 principales ataques protegidos por MII en H2 2012
La conclusión más importante en este terreno es que el troyano Sirefef, también conocido como Zero
Access, y sus variantes dominan los 10 principales malware durante este semestre. Ya nos hemos
ocupado de esta familia de troyanos y de su estructura modular en el informe del primer semestre del año,
cuando se explicó que su principal intención era cometer acciones fraudulentas haciendo clic en enlaces
maliciosos para, de esta forma, añadir dinero a las arcas de los atacantes.
A lo largo de los últimos seis meses de 2012, se han observado numerosas variantes de este malware
que, básicamente, dominan los diez primeros puestos de principales programas maliciosos. Si
combináramos todas estas variantes en una única firma, ocuparía definitivamente una de las
principales posiciones del listado y los cambios de los 10 primeros puestos de MII durante el
segundo semestre del año podrían distinguirse con mucha mayor claridad.
11
La Malware Information Initiative (MII) se basa en la potencia de la comunidad online y cualquier cliente que adquiera una solución de
seguridad de G Data puede participar en esta iniciativa. El requisito previo es que cualquier cliente active esta función en su solución de
seguridad de G Data. Cuando se produce un ataque de un malware informático, se envía un importe totalmente anónimo a G Data
SecurityLabs. G Data SecurityLabs recopila y analiza posterior y estadísticamente los datos de este malware.
Copyright © 2013 G Data Software AG
7
G Data MalwareReport H2/2012
Sin embargo, en primer puesto observamos la gran cantidad de malware Win32:DNSChanger-VJ
[Trj] detectado. Este malware se suministra a menudo como una carga de la familia Sirefef que
también aparece en una posición destacada en las estadísticas.
Con la excepción de la función para cometer acciones fraudulentas haciendo clic en enlaces
maliciosos que presentan muchas cepas de Sirefef, el listado del segundo semestre de 2012 no
incluye ningún malware de adware explícito. Esto confirma la tendencia a la que ya nos referimos
en el informe del primer semestre del año y el desarrollo de las cifras basadas en firmas que se
muestra en la Figura .
De los 10 principales malware en este semestre, solo el de tipo Generic.JS.Crypt1.C14787EE
podría ser asignado a esta categoría en todos los sentidos. Esto se detecta cuando los sitios web
usan un script específico en Java para mostrar la publicidad. Sin embargo, también se utilizó para
generar de forma artificial clics para hacer dinero, siguiendo una estrategia de pago por clic
realizado.
Una nueva incorporación a la lista de principales malware es la del Exploit.CVE-2011-3402.Gen. La
firma para la explotación descrita en CVE-2011-3402 aparece cuando documentos (por ejemplo
documentos de Microsoft Word u otros archivos de texto manipulados) explotan una vulnerabilidad
para ejecutar funciones maliciosas adicionales en el ordenador de la víctima (como la descarga y
ejecución de malware adicional).
Copyright © 2013 G Data Software AG
8
G Data MalwareReport H2/2012
Análisis de sitios web
Categorización por asunto
Se han observado numerosas novedades en la segunda mitad de 2012 en relación al análisis de
categorías de sitios web clasificados como maliciosos12.
Las principales 10 categorías representan
el 88,6%, lo que supone un 17,9% más de
lo registrado en el primer semestre de
2012, abarcando casi toda la gama de
asuntos en los que se han centrado los
atacantes durante este semestre.
Los Foros representan una novedad que
aparece en el cuarto puesto, y los
Deportes, que ahora ocupan la octava
posición, son nuevas incorporaciones,
desplazando los Juegos y la Música de las
10 principales categorías.
En las tres primeras posiciones –
Tecnología y Telecomunicaciones,
Educación y Negocios, registramos un
aumento en la proporción de sitios web
que sufrieron un abuso de phishing de
PayPal. El sector de Viajes también fue
víctima de este tipo de phishing durante
este semestre, mientras que también se
observaron otros sitios fraudulentos
relacionados con banca online. Para tener
más información sobre banca online, vea la
sección con este mismo nombre en la
página 12.
Figura 4: Sitios web maliciosos en el segundo semestre de 2012
en función de su contenido
Las categorías de Foros y Blogs se encuentran a menudos vinculadas al malware. Esto se debe en
gran medida a la gran cantidad de vulnerabilidades que existen en algunas aplicaciones de foros y
blogs muy utilizadas y explotadas por los atacantes, quienes utilizan máquinas para encontrar
plataformas vulnerables para, posteriormente, realizar ataques automáticos sobre ellas,
manipulando los sitios web para lograr sus objetivos. De esta forma, los atacantes pueden llegar a
una gran cantidad de víctimas potenciales.
No resulta sorprendente que la Pornografía también haya logrado un puesto en este listado. Sin
embargo, debe hacerse una clara distinción entre proveedores legítimos de contenido adulto y
sitios fraudulentos. Los sitios web de esta última categoría se distinguen a menudo en este campo
12
En este contexto, los sitios web maliciosos incluyen sitios de phishing además de sitios de malware. El recuento tampoco distingue
entre dominios establecidos específicamente para este objetivo y los sitios legítimos que han sido manipulados.
Copyright © 2013 G Data Software AG
9
G Data MalwareReport H2/2012
de malware porque, a menudo, ofrecen actualizaciones necesarias para programas multimedia que
albergan malware. Sin embargo, también se han observado ataques de phishing en los que
operadores de sitios con mala fama intentan apoderarse de datos personales y de información de
tarjetas de crédito.
Los proveedores de confianza se encuentran preocupados por la protección de la privacidad y de la
seguridad de sus clientes y, a menudo, toman grandes medidas para proteger sus infraestructuras
de TI.
Conclusión:
El último periodo de seis meses hemos observado una concentración de relativamente pocos
asuntos. Sin embargo, eso no significa que el riesgo de las infecciones o de los fraudes se limite a los
sitios de dichas categorías.
Vemos de nuevo que los blogs ocupan una posición especialmente alta en la clasificación de
objetivos en los ataques, lo que confirma la tendencia detectada en previos estudios. Los ataques
masivos en sistemas de gestión de contenido obsoletos con vulnerabilidades son aún uno de los métodos más
populares y siguen estando muy presentes. La manipulación de estos sitios puede realizarse con
facilidad y puede afectar a una amplia gama de usuarios, ajustándose muy bien al modelo de
negocio de los ciberdelincuentes: un poco esfuerzo que genera rápidamente grandes beneficios.
Copyright © 2013 G Data Software AG
10
G Data MalwareReport H2/2012
Clasificación por emplazamiento de servidores
A la hora de de analizar los sitios web, además de ver los asuntos más populares en los sitios web
maliciosos, también resulta interesante estudiar la distribución local de los sitios web maliciosos, tal
y como se muestra en la Figura 5.
Emplazamiento
menos popular de
servidores
Emplazamiento
popular de servidores
Figura 5: Mapa de coropletas con información sobre la frecuencia de sitios web maliciosos alojados en cada país
La principal conclusión de este análisis es que hay ciertas regiones del mundo que son
especialmente atractivas para albergar sitios web, gracias a sus infraestructuras de
telecomunicaciones. Entre dichas regiones se incluyen, en particular, los EE.UU., que albergó el
mayor número de sitios web maliciosos el año pasado, y también países de Europa central como
Alemania, Francia, España y Gran Bretaña. En comparación con el primer semestre de 2012, China
ha registrado un incremento y ahora tiene más sitios web atacantes que antes.
A lo largo del último semestre, ha disminuido el número de países que no ha participado en
absoluto. G Data SecurityLabs está registrando ahora tan solo unos pocos lugares en blanco en el
mapa, con un valor cero en el informe. Sin embargo, África Central es una zona que aún se
encuentra libre de sitios maliciosos, aunque el número de dichos sitios web ha aumentado en otros
países en el continente en comparación con el primer semestre de 2012. Sin embargo, teniendo en
cuenta el número bastante pequeño de todos los sitios web que se estima pueden estar albergados
en el continente - encontrándose la mayoría de ellos Sudáfrica (un informe13 afirma que el 0,27% de
los sitios registrados por Alexa se encontraron entre el millón de sitios más destacados)-, este
aumento merece ser indicado.
13
http://royal.pingdom.com/2012/06/27/tiny-percentage-of-world-top-1-million-sites-hosted-africa/
Copyright © 2013 G Data Software AG
11
G Data MalwareReport H2/2012
Banca online
En el terreno de los troyanos para banca online, observamos unos desarrollos interesantes durante
el segundo semestre de 2012. El total de infecciones se redujo continuamente y en diciembre solo
se registraron aproximadamente un tercio de las infecciones potenciales observadas en el mes de
julio.
Tercer trimestre de
2012
Bankpatch 29.1%
Citadel
25.5%
ZeuS
23.3%
Sinowal
16.3%
Spyeye
3.1%
Otros
2.7%
Figura 6: Proporción de familias de troyanos para banca detectados por
BankGuard en el segundo semestre de 2012
Cuarto trimestre
de 2012
Citadel
24.0%
Bankpatch 22.8%
ZeuS
17.9%
Sinowal
13.2%
Tatanga
10.1%
Otros
12.0%
Tabla 4: cuota de familias de
troyanos bancarios detectadas por
BankGuard en el tercer y cuarto
trimestre de 2012.
Una razón para explicar esto podría ser la detención de importantes ciberdelincuentes que
operaban con malware para banca online en el primer semestre del año14. Parece que hay tan pocos
programadores en este sector por lo que, prácticamente, el desarrollo de todos los troyanos para
estas actividades sufrió un duro golpe generalizado. Entre otras cosas, esto permitió que los
proveedores de antivirus mejoraran su posicionamiento. Básicamente, todos los troyanos para
banca conocidos registraron menos infecciones en la segunda mitad de 2012, tal y como mostramos
claramente en la Figura . SpyEye desapareció casi completamente y, gracias en particular al clon de
ZeuS –Citadel., ZeuS ocupó la primera posición, por delante de Bankpatch y Sinowal, aunque
también registró unas cifras muy inferiores en comparación con periodos anteriores.
Campañas destacadas
Nuevos troyanos, como Shylock y Tilon, siguen proporcionando un número de infecciones
prácticamente insignificante. Solo Tatanga logró registrar un número importante de infecciones.
14
G Data SecurityLabs informó sobre esto en el Informe de G Data sobre Malware del primer semestre de 2012.
Copyright © 2013 G Data Software AG
12
G Data MalwareReport H2/2012
Otro caso interesante es el del troyano Prinimalka15. Este es un ataque coordinado y a gran escala
para clientes de bancos americanos que se conoce con el nombre “Proyecto Blitzkrieg”. Sin
embargo, aún se desconoce cuándo va a comenzar dicho ataque. Hasta la fecha, G Data no ha
registrado ninguna tasa de infección importante.
Un ataque con éxito sobre objetivos determinados fue el de “Operación High Roller”, que se detectó
a principios del segundo semestre del año. Técnicamente, contaba con el uso de antiguos troyanos
como ZeuS y SpyEye, aunque se mejoraron los algoritmos de ataque de tal forma que lograron
burlar incluso la autenticación con tarjetas equipadas con chip sin ser detectados.
La “Operación High Roller” se dirigió a cuentas bancarias con gran cantidad de dinero depositado
como, por ejemplo, las cuentas empresariales. De esta forma, se logró transferir grandes cantidades
de dinero desde esas cuentas a las llamadas “mulas de dinero”. Se desconoce la cantidad total real,
pero se ha informado que podrían encontrarse entre los 60 millones y los 2.000 millones de euros.
Parte del dinero fue probablemente bloqueado por los bancos, pero la cantidad total robada es muy
probable que haya alcanzado unas dimensiones desconocidas hasta ahora. La tecnología de G Data
Figura 7: cambio en el número de infecciones de los principales 5 troyanos para banca en
la segunda mitad de 2012
BankGuard protege contra este tipo de ataque.
Previsiones
No está muy claro el troyano para banca que va destacar en 2013. Bankpatch registró un nivel de
infección disminución, por lo que el futuro del troyano parece cuestionable. El autor de Citadel, una
variante de ZeuS, parece estar oculto en estos momentos, por lo que parece improbable que
volvamos a registrar los mismos malware en los primeros puestos del listado. Estamos seguros que
vamos a registrar nuevos clones de Zeus, pero aún tenemos que ver si van a conseguir las tasas de
infección que logró el Citadel.
Existen indicios que nos muestran la posible vuelta de Carberp, aunque este malware nunca
registró unas tasas de infección especialmente altas en los análisis realizados anteriormente. Sin
15
http://krebsonsecurity.com/2012/10/project-blitzkrieg-promises-more-aggressive-cyberheists-against-u-s-banks/
https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/
Copyright © 2013 G Data Software AG
13
G Data MalwareReport H2/2012
embargo, de nuevo parece estar comercializándose en el mercado negro y el descubrimiento de
una nueva variante móvil de Carberp16 es otro indicador de esta actividad.
En general, sin embargo, no esperamos necesariamente que el número reducido de infecciones de
troyanos bancarios disminuya aún más en 2013. La gran cantidad de dinero que se puede conseguir
potencialmente es posible que siga resultando algo muy atractivo para una gran cantidad de
delincuentes. Sin embargo, es muy probable que las personas detrás de estas actividades corran el
riesgo de tomarse más en serio las posibles consecuencias legales de sus acciones.
Pero no solo las personas detrás de estos troyanos, sino también los responsables de su uso real se
verán alarmadas por el éxito logrado por las investigaciones de las autoridades. Por ello se espera
que el sector de la economía sumergida se preocupe más por la seguridad. Entre otras cosas, hay un
debate en este sector de la economía sumergida sobre si deben dejar que los troyanos bancarios se
comuniquen a través de la red Tor17, como fue el caso reciente de otros botnets como Skynet.
Hasta la fecha, Europa del Este ha sido el centro del comercio con troyanos bancarios. Como todas
las partes involucradas se han sentido muy seguras en cuanto a la persecución de sus actividades, el
comercio en Internet se ha realizado de manera bastante abierta. En estas regiones, sin embargo, se
han puesto en marcha una serie de acciones para enviar un mensaje, mostrando que esta aparente
seguridad no existe. Por esta razón es muy probable que el comercio se realice en un nivel incluso
más sumergido, y es posible que el mercado de troyanos bancarios se traslade a países en donde es
menos probable que estas actividades sean perseguidas por las autoridades.
16
17
Ver Figura 8.
http://blog.gdatasoftware.com/blog/article/botnet-command-server-hidden-in-tor.html
Copyright © 2013 G Data Software AG
14
G Data MalwareReport H2/2012
Android: un sistema operativo atractivo para usuarios y
atacantes
En la segunda mitad de 2012, G Data también se centró en las amenazas actuales que afectan a
dispositivos móviles y smartphones. El aún muy inmaduro mercado siguió ofreciendo a los
atacantes una amplia serie de oportunidades para crear y difundir malware utilizando para ello
sencillos mecanismos. Los incidentes con malware en el sector móvil a lo largo del último semestre
incluyeron ligeras variantes de malware bien conocido, además del empleo de malware con nuevo
enfoque. En general, el malware se ha hecho más sofisticado, complejo y técnicamente avanzado.
También se observó un destacado aumento en el número de nuevas muestras de malware en este
semestre18.
Figura 8: Selección de malware para dispositivos móviles que apareció en 2012
Nueva tendencia en 2012: adware
La evolución en adware para el sector de los dispositivos móviles contrasta con nuestras
conclusiones en relación con el adware en el sector de malware para PC 19. Lo mismo que antes, la
forma más fácil para que los autores de malware envíen mensajes de texto potencialmente muy
caros es hacerlo de una vez o a intervalos. Sin embargo, la instalación requiere unas autorizaciones
que, al menos con los proveedores de mercados de terceras partes, pueden confundir al usuario.
Las aplicaciones en Google Play Store siempre precisan la autorización del usuario, pero una actitud
de cierto descuido hace que los usuarios opten frecuentemente por las aplicaciones de mercados
no oficiales, aceptando las autorizaciones necesarias para acceder a las aplicaciones, algo que sigue
constituyendo todo un problema. Desde la versión 4.2 de Android, los usuarios tienen que leer /
hacer clic a toda la lista de autorizaciones requeridas antes de que la aplicación pueda instalarse. Sin
embargo, esto no ha tenido efecto para la difusión generalizada de una mentalidad para “hacer clic
y olvidarse de las consecuencias”.
Ha aparecido un modelo de negocio nuevo y lucrativo que incorpora incluso aplicaciones que
aparecen en los listados de Google Play Store y que permiten a los atacantes ofrecer servicios
potencialmente sujetos al cobro de tarifas sin contar la autorización necesaria por parte del usuario,
únicamente con el uso de adware. En primer lugar, esto puede hacerse con tan solo mostrar
publicidad o utilizando software tradicional. Sin embargo, estos anuncios se han usado de forma
mucho más agresiva para hacer que los usuarios instalen software adicional (malicioso).
18
19
Ver capítulo “ Malware para Android“ en página 6.
Ver página 1 y página 8.
Copyright © 2013 G Data Software AG
15
G Data MalwareReport H2/2012
En la segunda mitad de 2012, los usuarios de Android tuvieron que
hacer frente de manera predominante al troyano
Android.Trojan.FakeDoc.A, o FakeDoc.A en forma abreviada20.
Oculto en aplicaciones como “Battery Doctor”, el troyano espía los
datos del dispositivo – datos de contactos, por ejemplo. El ámbito
funcional se limita a mostrar el nivel de la batería y a gestionar las
conexiones de Wi-Fi y Bluetooth del dispositivo móvil.
Desde un punto de vista técnico, lo que ocurre en segundo plano
es mucho más interesante. Además de la aplicación, el troyano
instala un servicio de adware que muestra unos avisos en el
smartphone, que son unos anuncios vinculados a malware y a
sitios web dudosos. Lo más destacado es que el servicio adicional
instalado permanece en el dispositivo incluso después de eliminar
el "Battery Doctor". Por esta razón, los usuarios no pueden saber la
Pantallazo 1: Aplicación Go
aplicación que inició originalmente este servicio y lo que tienen
Weather infectada con el
que desinstalar para eliminar también dicho servicio.
troyano MMarketpay.A.
Los autores del malware Android.Trojan.MMarketPay.A, llamado
MMarketpay.A en forma abreviada, utilizaron un mecanismo parecido para difundir malware
adicional. Las aplicaciones con troyanos – como, por ejemplo, las aplicaciones “Go Weather”, “Travel
Sky” y “ES Datei Explorer” – se ofrecían predominantemente para descarga a través de sitios web
chinos y en mercados de terceras partes.
En este caso, una aplicación para conocer las previsiones
meteorológicas solo ofrecía una cantidad limitada de funciones y
escasa información meteorológica. Además de las funciones
maliciosas como, por ejemplo, los servicios de pago, que hacía que los
usuarios realizaran grandes compras en el mercado chino sin su
conocimiento21, el MMarketpay.A publicitaba software adicional
infectado con troyanos.
Pantallazo 2: Aplicaciones
situadas en un servidor chino
publicitada desde la aplicación
La propagación del software (malicioso) a través de publicidad en
aplicaciones con troyanos ganó terreno en 2012. Lo especial de este
tipo de adware es que ofrece software apropiado para cada país,
basándose en la dirección IP del usuario. Cuando los usuarios hacen
clic en la oferta, el adware no les conduce a Google Play Store, sino a
mercados de terceras partes situados en Asia o a otros sitios web – en
su mayoría fuentes de descargas inseguras y de poca confianza. Los
clientes que permiten a su dispositivo Android la instalación de
software de sitios desconocidos no reciben ningún aviso de las
fuentes cuestionables en ese tipo de situaciones.
Incluso la función maliciosa de pago en MMarketpay.A descrita
anteriormente se limita a China, pero ofrece un panorama
20
21
G Data informó detalladamente sobre FakeDoc en el Informe sobre Malware 1/2012.
http://blog.gdatasoftware.com/blog/article/new-android-malware-goes-on-a-shopping-spree-at-your-expense.html
Copyright © 2013 G Data Software AG
16
G Data MalwareReport H2/2012
desalentador para el futuro. Solo son necesarias algunas modificaciones para que este tipo de
ataque pueda ser usado en los mercados europeos y americanos. Por ello es muy posible que una
versión modificada de ese tipo de aplicación maliciosa aparezca en Europa para dirigirse a clientes
de proveedores móviles europeos. En este terreno, la comodidad del cliente - que desea acceder a
los mercados con la máxima facilidad a los mercados – representa un punto de vista contrapuesto a
la seguridad de los dispositivos que utiliza.
Malware en Google Play Store
Aunque Google ha desarrollado el sistema Google Bouncer, que ha estado comprobando de manera
oficial aplicaciones entregadas a Google Play desde principios de 2012, aún se ha encontrado
malware en Google Play en el segundo semestre de 2012. Un ejemplo de malware que ha penetrado
en Google Play Store e incluso en Apple App Store, a pesar de las medidas de seguridad existentes,
es el Android.Trojan.FindAndCall.A, o FindAndCall.A en forma abreviada.
Pantallazo 3: Find And Call en Google Play
Pantallazo 4: Find And
Call en the Apple App
Store
Cuando se ejecuta la aplicación, el malware FindAndCall.A envía los contactos del usuario a un
servidor definido por el atacante sin precisar interacción alguna por parte del usuario.
Posteriormente, el servidor envía spam a través de SMS, además del enlace a la aplicación maliciosa
a todas las entradas disponibles. Todo esto sucede con el usuario como remitente, lo que representa
un potencial de alto riesgo. La fuente de los mensajes SMS parece ser una fuente conocida y de
confianza y los receptores de los SMS se ven tentados a seguir las “recomendaciones” del remitente.
Un malware incluso más refinado
Los comentarios sobre el adware que ha surgido han indicado lo que parece ser una nueva
tendencia: el malware puede parecer sencillo en un primer momento, pero cuenta con opciones
para ampliar el alcance de sus funciones posteriormente. Por ejemplo, el FindAndCall.A contenía
una función para cargar la localización del GPS del usuario a un servidor predefinido, aunque no ha
comenzado a usarla aún.
Los llamados kits de crimeware, que facilitan en gran medida el acceso al malware para los
delincuentes, también facilita el profesionalismo del malware en dispositivos móviles. El malware
construido usando componentes programados de forma profesional para malware normalmente
funciona de manera inmediata. Al contrario de lo que ocurre con software amateur mal
programado, es más probable que el software elaborado con kit de crimeware permanezca sin ser
detectado durante más tiempo. En el campo de malware para PC, el principio detrás de estos kits
lleva conociéndose durante mucho tiempo y es conocimiento generalizado. El resultado del uso de
Copyright © 2013 G Data Software AG
17
G Data MalwareReport H2/2012
estos kits en el terreno de los PC puede verse principalmente en el desarrollo de troyanos, tal y como
se indica en el gran número de nuevas variantes de firmas que se muestran en la Figura de la
página 4.
Los atacantes que carecen de las habilidades de programación necesarias o que desean acceder al
nuevo malware para realizar rápidamente sus acciones, solo tienen que pagar por las herramientas
necesarias para crear los programas maliciosos. El principio subyacente detrás de estos kits, en
donde las funciones de malware deseadas pueden ser seleccionadas e incluidas en una aplicación
de malware, permite que el malware y sus funciones maliciosas incrementen su complejidad.
Alrededor de la misma fecha que el FindAndCall.A estaba causando furor, científicos
estadounidenses publicaron un informe para dar a conocer el desarrollo de una aplicación segura y
legítima, equipándola con funciones muy sospechosas y ecaneándola varias veces con el Bouncer
de Google. Siempre que los desarrolladores no equiparan las funciones maliciosas con valores muy
poco realistas (por ejemplo, un contacto de servidores cada segundo en vez de uno cada 15
minutos), la aplicación no parecía sospechosa al Bouncer automático y, por lo tanto, permanecía
como válidamente aceptado en Google Play Store22. Un análisis de este tipo muestra de nuevo que
resulta difícil para los usuarios detectar malware programado de forma sofisticada, incluso cuando
proviene de un laboratorio de investigaciones. Incluso los mecanismos de seguridad de Google solo
intervinieron en una etapa tardía para impedir el peligro en su propia tienda de aplicaciones. Por
esta razón, resulta ahora esencial contar con una protección adicional para dispositivos móviles en
forma de software completo para garantizar la seguridad de los equipos.
Botnets en el dominio público
En el terreno de los equipos de sobremesa, los botnets se conocen desde hace mucho tiempo. Los
atacantes los utilizan, por ejemplo, para enviar spam, para atacar sitios web o servicios (DDoS) o para
espiar datos. El tamaño de los botnets puede variar de unos pocos ordenadores infectados a miles
de los llamados zombis.
Atacante
Comando a bot: SMS/llamada de pago
SMS/llamada de pago
Dispositivo
infectado
Servicio
de pago
Pago
Factura
Figura 9: Instalación potencial de un botnet en un entorno móvil
22
http://media.blackhat.com/bh-us-12/Briefings/Percoco/BH_US_12_Percoco_Adventures_in_Bouncerland_WP.pdf
Copyright © 2013 G Data Software AG
18
G Data MalwareReport H2/2012
Los dispositivos móviles también pueden transformarse en bots cuando los atacantes obtienen
acceso completo – lo que se conoce como acceso root – a los dispositivos. Para hacerlo, explotan
vulnerabilidades de seguridad no parcheadas en el sistema operativo.
La puerta trasera Android.Backdoor.SpamSold.A, o SpamSoldier.A en forma abreviada, engaña a los
usuarios con una copia pirata del popular juego Angry Birds. La aplicación infectada se ofrece para
descarga en los mercados no oficiales o en sitios web. Cuando la puerta trasera llega al dispositivo,
su servidor de mando y control envía una lista con números de teléfono y, sin que lo sepa el usuario,
manda un texto predefinido en forma de mensajes cortos a expensas del usuario. Cuando todos los
mensajes SMS se han enviado, el dispositivo accede a una nueva lista. El usuario no es consciente de
esta actividad hasta que llegue la siguiente cuenta de teléfono. Por esta razón, el daño puede ser
tremendo. También puede utilizarse un botnet para permitir a los dispositivos individuales llamar a
números de lata tarificación. El procedimiento es parecido al descrito anteriormente. Sin embargo,
como estos servicios son mucho más caros, los usuarios se exponen a unas perdidas potenciales
mucho mayores. En lo que se refiere al uso de botnets para dispositivos móviles, el objetivo es claro:
conseguir beneficios económicos rápida y sencillamente23.
Previsiones
Con 1,3 millones de nuevos dispositivos
activados diariamente, Android es un objetivo
cada vez más destacado para numerosos
Pantallazo 5: Tweet de Andy Rubin sobre la activación
vectores de ataque. El malware ya conocido
de dispositivos Android
seguirá apareciendo en formas modificadas.
Según un estudio de Flurry, más de 17,4 millones de nuevos dispositivos móviles iOS y Android
fueron activados el día de Navidad (25 de diciembre de 2012)24.
Por ello, además del espionaje de datos, el envío de mensajes SMS a números de alta tarificación
seguirá siendo la función maliciosa dominante en 2013. Las nuevas tecnologías instaladas en
dispositivos también abrirán nuevas oportunidades para atacar a los usuarios y a sus dispositivos
móviles. En 2011, Google presentó su nuevo modelo de negocio, Google Wallet25, en el que
muchas de las principales organizaciones de tarjetas de crédito han estado participando desde
agosto de 2012.
Google Wallet es un sistema de pago móvil que permite a los usuarios almacenar tarjetas de
crédito, tarjetas de débito, tarjetas de cliente y vales de descuento en sus smartphones. El
dispositivo móvil puede utilizar esta información para pagar de forma rápida y fácil en los
establecimientos (oficialmente solo en EE.UU. por el momento) o en tiendas online que se visiten
cuando se navegue por la Web con el smartphone. Para el pago en los establecimientos, el servicio
usa la tecnología Near Field Communication (NFC en forma abreviada, implementada por Android
a partir de la versión 2.3). Esta tecnología permite pagar rápida y cómodamente con tan solo colocar
el teléfono cerca de un dispositivo habilitado para este tipo de pagos (PayPass) cuando se realice la
compra.
Desde 2012, muchos smartphones ya se ofrecen de forma automática con NFC, haciendo esta
23
Ver Figura .
http://blog.flurry.com/bid/92719/Christmas-2012-Shatters-More-Smart-Device-and-App-Download-Records
25
http://www.google.com/wallet/faq.html
24
Copyright © 2013 G Data Software AG
19
G Data MalwareReport H2/2012
tecnología incluso más atractiva para los atacantes. Sin embargo, el uso de tecnología NFC no se
encuentra disponible todavía en todos los lugares, por lo que esta amenaza no tiene un papel
destacado en estos momentos. Asimismo, muchos usuarios no son conscientes de las prestaciones
y de los riesgos que pueden correr con el uso de servicios NFC. Aunque esta tecnología es
relativamente inmadura, también se han encontrado vulnerabilidades en Google Wallet, por
ejemplo, lo que hace inseguros los pagos de las transacciones realizadas26. Como algo de
información se guarda y se accede fuera de la aplicación, los hackers pueden interceptar el flujo de
datos y acceder a información crítica sobre seguridad.
En 2013, los delincuentes seguirán pendientes de los dispositivos móviles. Las grandes ventas de
dispositivos, que aún se encuentran en aumento, siguen incrementando el atractivo de Android
como un objetivo para los delincuentes. Nuevas tecnologías, como la NFC - que siguen
difundiéndose (aunque lentamente) -, las conexiones de telefonía móvil más rápidas y los mayores
volúmenes de datos ofrecen numerosa opciones para realizar ataques en 2013.
Sin embargo, los atacantes seguirán utilizando estos mecanismos para sus ataques siempre que
puedan obtener beneficios rápidos con el uso de métodos sencillos (como, por ejemplo, una copia
con troyanos en aplicaciones populares). Si el análisis de rentabilidad indica la existencia de
demasiados costes para los atacantes, se crearán una mayor cantidad de nuevos escenarios. En este
terreno, los atacantes de dispositivos móviles actúan de la misma forma que lo hacen los atacantes
de PC tradicionales.
26
http://bgr.com/2012/02/10/google-wallet-hacked-again-new-exploit-doesnt-need-root-access-video/
Copyright © 2013 G Data Software AG
20

Documentos relacionados