jueves. 28.03.2024

En abril se detectó, de nuevo, una actividad sin precedentes en lo que a programas maliciosos para Mac OS y las amenazas móviles para Android se refiere. En general, Kaspersky Lab ha descubierto y neutralizado más de 280 millones de programas maliciosos y más de 24 millones de URLs maliciosas. INFORME ABRIL

Mac OS X: Flashfake y SabPub

La excepcionalmente elevada actividad detectada en marzo de programas maliciosos dirigidos a Mac OS X fue sólo la punta del iceberg. Dos sucesos que tuvieron lugar en abril han cambiado para siempre la forma en que vemos el escenario de seguridad de Mac OS X: uno tiene que ver con la explotación masiva y el otra con el uso de Mac OS X como parte de un APT.

La red zombi Flashfake o Flashback fue el principio. La familia de programas maliciosos Flashfake se detectó en 2011 como Trojan-Downloader.OSX.Flashfake. Se propagaba como una falsa actualización para Flash Player, lo que explica el origen de su nombre. Entre septiembre de 2011 y febrero de 2012, Flashfake se propagó sólo mediante métodos de ingeniería social. A los visitantes en varios sitios web se les pedía que descargasen una falsa actualización para Adobe Flash Player.

En el informe de marzo ya se advirtió de que este programa malicioso se propagaba a través de cientos de miles de blogs de WordPress hackeados. Esto agravó la situación puesto que Flashfake usaba exploits para infectar los ordenadores de los usuarios víctimas, lo que resultó en la creación de la red zombi Flashfake, compuesta por más de 750.000 ordenadores con Mac OS X. El 85% de los blogs capturados pertenecían a usuarios de EE.UU.

El control del tráfico de WordPress permite que los ciberdelincuentes creadores de Flashfake desvíen a los visitantes de los sitios de WordPress hacia sitios piratas bajo su control. Una vez que la víctima llega al sitio pirata, se activan tres exploits para infectar el ordenador del usuario: CVE 2011-3544, CVE 2008-5353 y CVE 2012-0507, o el sitio intenta persuadir al usuario para que descargue e instale un archivo JAR con una falsa firma de Apple. Si uno de los exploits logra su objetivo, el ordenador de la víctima se infectará sin que su dueño se entere.

Sin embargo, la clave del éxito de esta campaña fue no sólo el nuevo método de propagación, sino los exploits que se usaron. Resulta interesante la manera en que todos estos exploits apuntaban a Java, teniendo en cuenta que la implementación y la publicación de parches para Mac OS X las hacía Apple en lugar de la misma Oracle, lo que causaba retrasos en los parches de seguridad para los usuarios finales de Mac OS X.

En abril se identificó una APT (Advanced Persistent Threat) activa: SabPub, que usaba dos tipos de troyanos tipo backdoor para infectar los ordenadores de los usuarios. El primer troyano, creado en febrero de 2012, explotaba una vulnerabilidad en Microsoft Word para penetrar en el ordenador.

La segunda variante de SabPub, que se creó en marzo de 2012, atacaba la plataforma Mac OS X explotando una vulnerabilidad en Java. Una vez que el troyano infectaba el ordenador, procedía a capturar imágenes de pantalla mientras el usuario usaba el ordenador, y ejecutaba comandos en el mismo. Hasta la fecha, los ciberdelincuentes creadores de SabPub siguen atacando los ordenadores de los usuarios.

Programas maliciosos para móviles

La gran mayoría de los modernos programas maliciosos para Android son específicos para determinadas regiones. Los ciberpiratas en varios países crean diversos tipos de programas maliciosos dirigidos a los usuarios de países concretos. Es decir, que es muy baja la posibilidad de que un usuario ruso de Android se vea afectado por un programa malicioso chino.

Japón no es una excepción. A principios de abril se descubrió un nuevo tipo de programa malicioso para Android, escrito por autores japoneses de virus para móviles. Kaspersky Lab detectó este programa malicioso como Trojan.AndroidOS.FakeTimer.

Por desgracia, casi 30 distintos tipos de aplicaciones maliciosas estaban disponibles en Google Play, y al menos unos 70.000 usuarios descargaron alguna de ellas. Este programa malicioso es capaz de ponerse en contacto con un servidor remoto. Si la conexión se realiza, descarga un archivo de video MP4. También es capaz de robar información confidencial en el dispositivo infectado, como nombres, direcciones de correo y números telefónicos de las personas en la lista de contactos de la víctima. El programa malicioso envía la información robada al servidor remoto.

También los programas maliciosos móviles que se controlan mediante mensajes SMS cada día son más y más populares. En abril se descubrió otro programa backdoor llamado TigerBot. Este programa malicioso se camufla tras la infección y no muestra ninguna señal de existencia en el dispositivo. Si la víctima verifica la lista de procesos que se están ejecutando en su dispositivo, quizás no pueda identificar el nombre del proceso de TigerBot, como "System". Este programa malicioso registra un recibidor llamado “android.provider.Telephony.SMS_RECEIVED" para pinchar todos los mensajes SMS entrantes y verificar si contienen o no un comando especial.

Varios comandos pueden dar lugar a la grabación de llamadas telefónicas, el robo de coordenadas GPS, el envío de mensajes SMS, o a cambios en los parámetros de la red. Todas estas características pueden ocasionar una grave fuga de información. Este programa malicioso también puede reiniciar los teléfonos infectados, aunque es menos probable que esto suceda porque alertaría a la víctima de que su dispositivo tiene un problema.

Por suerte, no hay evidencias de que TigerBot estuviera (o esté) disponible en Google Play, pero es importante tener mucho cuidado cuando se instalan aplicaciones provenientes de cualquier fuente.

Los programas maliciosos móviles que se controlan mediante mensajes SMS, cada día más...