En 2016, los productos de seguridad móvil de Kaspersky Lab informaron que:
– Se produjeron cerca de 40 millones de intentos de ataque por malware móvil a más de 4 millones de usuarios de dispositivos Android protegidos – en 2015 únicamente había 2,6 millones de usuarios de Android protegidos.
– Más de 260.000 paquetes de instalación de troyanos de ransomware detectados (un crecimiento de 8,5 veces comparado con el año anterior)
– Más de 153.000 usuarios únicos atacados por ransomware móvil (un incremento de 1,6 veces comparado con 2015)
– Se detectaron más de 128.000 troyanos de banca móvil (1,6 veces más que en 2015)
Troyanos publicitarios: ¿ya está nuestro dispositivo “rooteado”?
El troyano más extendido en 2016 fue el publicitario, con 16 de los 20 principales programas de malware. Estos troyanos son capaces de hacerse con el control privilegiado o rooting de nuestros dispositivos, permitiendo al malware que no solo haga que continuamente se muestren anuncios, haciendo prácticamente imposible su uso, sino que también se instalen otras aplicaciones. Este tipo de troyanos también puede comprar apps en Google Play.
En muchos casos, estos troyanos aprovecharon vulnerabilidades ya detectadas y parcheadas por los fabricantes porque el usuario no había hecho la última actualización.
Además, este malware instala sus módulos en el directorio del sistema, lo que hace que el arreglo del dispositivo infectado sea muy complicado. Algunos troyanos publicitarios son incluso capaces de afectar la imagen de recuperación, haciendo imposible resolver el problema restaurando el dispositivo con la configuración de fábrica.
Este tipo de programas maliciosos se han encontrado en la tienda de aplicaciones de Google Play, por ejemplo, camuflados como guías de Pokemon GO. En este caso concreto, la app fue descargada en más de 500.000 ocasiones, y fue detectada como el troyano Trojan.AndroidOS.Ztorg.ad.
Ransomware móvil: futuros desarrollos
En 2016, 153.258 usuarios únicos de 167 países fueron atacados por programas Trojan-Ranson (1,6 veces más que en 2015). El ransomware moderno invade las ventanas con mensajes de solicitudes, haciendo que sea imposible el uso del dispositivo. Este modo de operar fue utilizado por Trojan-Ransom.AndroidOS.Fusob, el programa de ransomware móvil más popular en 2016.
Este troyano fue especialmente activo contra usuarios en Alemania, EE.UU. y Reino Unido, pero no afectó a usuarios de las antiguas repúblicas soviéticas y algunos países vecinos. Una vez lanzado, procede a realizar una comprobación en el idioma del dispositivo y, después de obtener algún resultado, puede paralizar su funcionamiento. Los cibercriminales detrás del troyano suelen pedir entre 100 y 200 dólares para desbloquear el dispositivo. El rescate debe ser pagarse utilizando códigos de tarjetas de prepago de iTunes.
Troyanos de banca móvil: una amenaza en crecimiento
– En 2016, más de 305.000 usuarios en 164 países fueron atacados por troyanos bancarios móviles, frente a los 56.000 usuarios en 137 países del año anterior
– Rusia, Australia y Ucrania fueron los tres países a la cabeza en cuanto a porcentaje de usuarios víctimas de troyanos de banca móvil, respecto al número total de usuarios atacados por el malware móvil
Los troyanos de banca móvil han ido evolucionando a lo largo del año. Muchos de ellos consiguieron hacerse con herramientas que les permitieron eludir los nuevos mecanismos de seguridad de Android, y fueron capaces robar información de los usuarios en la mayoría de las versiones recientes del Sistema Operativo. En paralelo, los desarrolladores de los troyanos bancarios móviles han mejorado sus creaciones con nuevas funcionalidades. Por ejemplo, la familia Marcher, además de implementar la habitual superposición sobre las aplicaciones bancarias, redirige a los usuarios desde las páginas web de las instituciones financieras hacia páginas de phishing.
El engaño de la Dark Web
Según los policías especializados del Complejo Mundial para la Innovación de Interpol que han colaborado con el informe, la “Dark Web” sigue siendo un medio atractivo para la realización de actividades y negocios ilícitos. Teniendo en cuenta su fuerte anonimato, bajos precios y estrategia orientada al cliente, la “Dark Web” facilita a los criminales una vía de comunicación y de involucrarse en transacciones comerciales; así como comprar y vender productos y servicios, incluyendo kits de malware móvil. El malware móvil se pone a la venta como paquetes de software (por ejemplo, troyanos de acceso remotos – RATs), soluciones individuales y herramientas sofisticadas, como los desarrollados por empresas profesionales o, en una escala menor, como parte de un modelo “bot as a service”. El malware móvil es también un “tema de interés” en tiendas de proveedores, foros y redes sociales.
“En 2016, el número de troyanos capaces de explotar los derechos de superusuario no ha parado de crecer. A lo largo de todo el año este tipo de troyanos ha sido la principal amenaza, y no vemos ningún signo que nos haga pensar que la tendencia vaya a cambiar. Los cibercriminales están aprovechando el hecho de que la mayoría de los dispositivos no actualizan sus sistemas operativos, o lo hacen muy tarde, lo que les hace vulnerables, incluso ante aquellas amenazas antiguas, viejas conocidas y de fácil acceso. Además, hemos visto como el escenario móvil se está saturando, por lo que los cibercriminales están empezando a interactuar más allá del mundo del smartphone. Quizás en 2017 podremos ver ataques más importantes a componentes del IoT lanzados desde dispositivos móviles”, comenta Roman Unuchek, analista senior de malware en Kaspersky Lab USA.