jueves. 28.03.2024

Kaspersky Lab presenta su Informe de Malware Móvil en 2012, un año en el que Android ha centrado toda la atención de los creadores de virus. Además, se cumplieron los pronósticos sobre el desarrollo de las amenazas móviles en 2012 de la compañía, que señalaba como protagonistas la creación de botnets, ataques contra blancos específicos mediante malware y el “espionaje” móvil.

En 2012, los esfuerzos de los ciberdelincuentes se concentraron sobre todo en la creación de programas maliciosos para Android. Esto condujo al crecimiento tanto cualitativo como cuantitativo del malware móvil para esta plataforma. El 99% del malware móvil detectado es para la plataforma Android.

Los programas maliciosos más propagados y detectados en los smartphones se pueden dividir en 3 grupos principales: troyanos SMS, módulos publicitarios y exploits para obtener derechos de root en el smartphone.

Malware en tiendas oficiales de aplicaciones, sobre todo en Google Play

A pesar de que Google ha implementado el módulo Google Bouncer, que efectúa el análisis automático de todas las nuevas aplicaciones en Google Play, no hay cambios sustanciales en el promedio de incidentes. Uno de los incidentes más importantes fue el programa malicioso Dougalek, cuyas copias descargaron decenas de miles de usuarios (sobre todo de Japón). Esto provocó una de las más grandes fugas de información personal en usuarios de dispositivos móviles.

También cabe destacar el primer caso de detección de software malicioso para iOS en la App Store. A principios de julio se descubrió una aplicación sospechosa llamada “Find and Call”, tanto en App Store como en Android Market. Al descargar e instalar este programa, el usuario veía una solicitud de registro, que le pedía ingresar su dirección de correo electrónico y número de teléfono. Después del registro, los datos ingresados y la libreta telefónica se enviaban a un servidor remoto que utilizaba los números de teléfono robados para enviar mensajes de spam.

Las primeras botnets móviles

El primer síntoma de la aparición de botnets en los dispositivos móviles fue el descubrimiento a principios de año de la botnet IRC para Android llamada Foncy, que funcionaba junto con el troyano SMS del mismo nombre. Era precisamente la bot IRC la que podía tomar el control del smartphone después de la infección. De hecho, todos los smartphones infectados por la bot IRC Foncy formaban una verdadera botnet y estaban preparados para ejecutar prácticamente cualquier orden que les indicara su “dueño”.

Los creadores de virus chinos lograron crear una botnet con entre 10.000 a 30.000 dispositivos activos, pero el total de smartphones infectados alcanzaba varios cientos de miles. La base de esta botnet era el backdoor RootSmart, que tiene varias funciones de control remoto de dispositivos Android. Para propagar RootSmart, los delincuentes informáticos usaron un truco conocido y efectivo: empaquetaron un programa legítimo y lo pusieron en el sitio de una popular tienda china extraoficial de aplicaciones para Android. Como resultado, los usuarios que descargaban el programa, que supuestamente servía para configurar el teléfono, recibían junto con él un backdoor que agregaba sus dispositivos a la botnet.

Las dimensiones de la infección causada por RootSmart permitieron a los ciberdelincuentes convertir en beneficio económico la red creada con los teléfonos infectados. Para este fin eligieron el método más popular entre los delincuentes informáticos móviles: enviar mensajes SMS de pago a números cortos. Los delincuentes usaban los números más baratos para que las víctimas no se dieran cuenta de sus pérdidas y estuvieran expuestas durante el mayor tiempo posible. El control total que los delincuentes obtenían sobre los dispositivos móviles les daba la posibilidad de ocultar por un largo periodo de tiempo la presencia del programa malicioso y aprovecharlo para robar más dinero.

Ataques contra blancos específicos mediante malware móvil

En 2012 se usaron nuevos programas maliciosos para sistemas operativos diferentes a Android en ataques contra blancos específicos. Un buen ejemplo de estos ataques son los lanzados mediante ZitMo y SpitMo (Zeus- y SpyEye-in-the-Mobile). Nuevas versiones de ZitMo y SpitMo aparecían con regularidad, tanto para Android como para otros sistemas operativos. Los escritores de virus siguen usando los mismos métodos de camuflaje que hace dos años. O bien los disfrazan de “certificados de seguridad”, o bien los hacen pasar como software para proteger smartphones.

A pesar de que los sistemas operativos diferentes a Android no son tan populares, en 2012 también aparecieron nuevas versiones de ZitMo para Blackberry.

El robo de datos de los teléfonos móviles, el seguimiento de las personas a través de su smartphone y servicios de geolocalización se han convertido en un fenómeno ampliamente difundido. La cantidad de programas maliciosos que por su comportamiento son troyanos-espía o backdoors se ha incrementado de forma considerablemente. También merece la pena destacar la creciente cantidad de aplicaciones comerciales de monitorización, que a veces son difíciles de diferenciar de los programas maliciosos.

El ejemplo más claro de espionaje con el uso de programas maliciosos móviles es el incidente del módulo publicitario FinSpy, un programa que tiene funcionalidades de troyano-espía, capaz de hacer un seguimiento de casi todas las actividades de los usuarios en el equipo infectado, seguir su paradero, hacer llamadas en secreto y enviar información a servidores remotos.

El 99% del malware móvil detectado en 2012 está dirigido a Android