Troyanos publicitarios con derechos de superusuario

Troyanos publicitarios con derechos de superusuario

Kaspersky Lab dio a conocer hoy las conclusiones de su informe titulado Virología Móvil 2016, el cual reporta que las detecciones prácticamente se triplicaron en comparación con 2015; con un total de 8.5 millones de instalaciones maliciosas identificadas. Este informe anual también destaca la evolución de troyanos dirigidos a las transacciones bancarias móviles. Agentes especialistas del Complejo Mundial de INTERPOL para la Innovación, han contribuido al informe con un análisis del malware móvil en la Dark Web.

En el lapso de un año, se distribuyó un volumen equivalente a la mitad de todo el malware detectado en los 11 años anteriores (15.77 millones de 2004 a 2015). Liderando, estuvieron los troyanos de publicidad móvil, que de los 20 principales programas maliciosos, 16 son de este tipo. Adicionalmente, los productos de seguridad de Kaspersky Lab para dispositivos móviles informaron lo siguiente:

– Casi 40 millones de intentos de ataques por malware a dispositivos móviles registrados, con más de 4 millones de usuarios de dispositivos Android protegidos (en comparación a 2.6 millones)
– Más de 260 mil detecciones de paquetes de instalación de troyanos ransomware para dispositivos móviles (un aumento de casi 8.5 veces en comparación al año anterior)
– Más de 153 mil usuarios únicos atacados por ransomware para móviles (1.6 veces más)
– Más de 128 mil troyanos dirigidos a las transacciones bancarias móviles fueron detectados (casi 1.6 veces más que en 2015)

Troyanos publicitarios: ¿Su dispositivo ha sido rooteado?

El troyano publicitario fue el más propagado durante 2016. De los 20 principales programas de malware, 16 fueron de este tipo.

Estos troyanos son capaces de obtener control privilegiado, o acceso root, para permitir que el malware no sólo muestre anuncios publicitarios de manera hostil en el dispositivo infectado, lo que a menudo lo hace imposible de usar, sino que también instale de manera secreta otras aplicaciones. Estos troyanos incluso pueden comprar aplicaciones en la tienda Google Play.

En muchos casos, los troyanos fueron capaces de explotar vulnerabilidades que habían sido corregidas previamente, debido a que el usuario no había instalado la actualización más reciente.

Además, este malware instala simultáneamente sus módulos en el directorio del sistema, lo que dificulta la reparación del dispositivo infectado. Algunos troyanos publicitarios son incluso capaces de infectar la imagen de recuperación, lo que hace imposible resolver el problema mediante la restauración del dispositivo a la configuración de fábrica.

Agentes de esta clase de software malicioso han aparecido repetidamente en la tienda oficial de aplicaciones de Google Play, por ejemplo, haciéndose pasar por una guía para Pokémon GO. En este caso, la aplicación fue bajada más de 500 mil veces y detectada como un Trojan.AndroidOS.Ztorg.ad.

Ransomware móvil: nuevos acontecimientos

En 2016, 153,258 usuarios únicos de 167 países fueron atacados por troyanos ransomware; 1.6 veces más que en 2015.

El ransomware moderno sobrepone ventanas con mensajes de rescate, lo que hace imposible utilizar el dispositivo. Este principio fue utilizado por el programa de ransomware móvil más popular en 2016, el Trojan-Ransom.AndroidOS.Fusob.

Este troyano ataca principalmente a usuarios en Alemania, Estados Unidos y el Reino Unido, pero evita usuarios de la Comunidad de Estados Independientes y algunos países vecinos. Una vez lanzado, comprueba el idioma del dispositivo y, después de lograr algunos resultados, puede detener su operación. Los ciberdelincuentes que se valen de este troyano suelen demandar entre $100 y $200 dólares para desbloquear un dispositivo. El rescate se paga usando códigos de tarjetas pre-pagadas de iTunes.

Troyanos bancarios para móviles: una amenaza que crece rápidamente

En 2016, más de 305 mil usuarios en 164 países fueron atacados por troyanos dirigidos a las transacciones bancarias móviles, en comparación con más de 56 mil usuarios de 137 países el año anterior.

Rusia, Australia y Ucrania son los tres principales países afectados en términos de porcentaje de usuarios atacados por troyanos bancarios en comparación con el total de usuarios afectados por malware móvil.

Los troyanos que tienen como objetivo la banca móvil, continuaron evolucionando a lo largo del año. Muchos de ellos obtuvieron herramientas que les permitieron evitar los nuevos mecanismos de seguridad de Android y seguir robando información a los usuarios de versiones más recientes de este sistema operativo. Al mismo tiempo, los desarrolladores de troyanos bancarios para móviles continuaron agregando nuevas posibilidades a sus creaciones. Por ejemplo, la familia Marcher, además de sobreponer las aplicaciones bancarias, redirigió a los usuarios de los sitios web de instituciones financieras a páginas de phishing.

El engaño de la Dark Web

Según funcionarios especializados del Complejo Mundial de INTERPOL para la Innovación, que también han contribuido al informe, la Dark Web sigue siendo un medio atractivo para la realización de negocios y actividades ilícitas. Dado su anonimato, sus precios bajos y su estrategia orientada al cliente, la Dark Web proporciona a los criminales un medio para comunicarse e involucrarse en transacciones comerciales, comprando y vendiendo varios productos y servicios, entre ellos los kits de malware para móviles. El malware móvil se ofrece a la venta como paquetes de software (por ejemplo, troyanos de acceso remoto, RAT), soluciones individuales y herramientas avanzadas, como las desarrolladas por empresas profesionales o, en menor escala, como parte de un modelo de Bot como servicio. El malware móvil también es un tema de interés en tiendas de proveedores, foros y redes sociales.