g data informe de malware informe bianual julio ... g data... · malware: datos y cifras cifras...

G Data Informe de malware

Informe bianual Julio – diciembre de 2011

G Data SecurityLabs

Go safe. Go safer. G Data.

Copyright © 2011 G Data Software AG 1

G Data Malware Report 2/2011

Contenido

Aspectos generales .............................................................................................................................. 2

Malware: cifras y datos ........................................................................................................................ 3

Cifras millonarias de malware................................................................................................................................... 3

Categorías de malware ............................................................................................................................................... 3

Familias de malware .................................................................................................................................................... 4

Plataformas: Windows, principal objetivo; y plataformas móviles en la diana ....................................... 7

Monitorización de riesgos ................................................................................................................... 9

Análisis de sitios web ......................................................................................................................... 11

Clasificación por asunto .......................................................................................................................................... 13

Clasificación por emplazamiento del servidor ................................................................................................ 15

Phishing ........................................................................................................................................................................ 16

Banca online ...................................................................................................................................... 17

Malware móvil .................................................................................................................................... 19



Aspectos generales • En 2011 se observaron más de 2,57 millones de cepas de malware, un incremento del 23%

respecto al año anterior.

• Se registró una disminución en el número de nuevos rootkits, mientras que los programas

espía y adware aumentaron en gran medida.

• La cantidad de nuevo malware para dispositivos móviles creció por encima del 1.000% en

tan solo un año.

• El malware para Android se está ahora expandiendo por todo el mundo y se ha convertido

en una amenaza mundial gracias a las diferentes localizaciones.

• Los ataques de phishing se dirigieron (y aún se centran) en los beneficios económicos que

pueden ofrecer. Cerca de un 60% de los sitios web de phishing fueron diseñados para

simular los sitios genuinos de diferentes instituciones financieras.

• Torpig, SpyEye y ZeuS fueron los troyanos más activos en el sector bancario.

Hitos

• Aparición de la herramienta espía DuQu. Su objetivo es recopilar la mayor cantidad posible de datos y preparar ataques como los del malware Stuxnet.

• Los grupos de hacktivistas como Anonymous han protagonizado ciberataques dirigidos

contra compañías, organizaciones y personas específicas.

Panorama para la primera mitad de 20121

• El malware para Android aumentará y se hará técnicamente más avanzado.

• Se realizarán más ataques dirigidos a objetivos específicos.

• Los ciberelincuentes se centrarán en eventos importantes como, por ejemplo, la Eurocopa

de fútbol.

• Los troyanos es especializan en el sector bancario y se incrementará su actividad como

herramienta para estafar a los usuarios de los servicios de banca online.

1 Para más información, consulte el informe sobre "Tendencias para 2012" de G Data



Gráfico 1: Número de nuevos programas de malware al año, desde 2006

Malware: datos y cifras

Cifras millonarias de malware

En el periodo de julio a diciembre de 2011, G Data Security Labs registró una media de 7.229 nuevas

cepas de malware al día, hasta alcanzar un total de 1.330.146 tipos diferentes de amenazas, un 6,8%

más que en los seis primeros meses del año. Respecto a 2010, la cantidad de nuevas cepas de

malware aumentó en un 23,1% en 2011.

Categorías de malware

Los programas de malware se pueden agrupar en categorías según sus actividades. El gráfico 2

muestra las categorías más importantes y su evolución durante los últimos cuatro semestres. La

categoría de spyware experimentó el mayor incremento, ya que la cantidad de este tipo de

malware ha aumentado un 52% en los últimos seis meses, registrando un incremento del 20%

durante los dos últimos años. En este mismo período, los troyanos también aumentaron un 40%,

aunque esta tendencia ha perdido cierta fuerza en el último semestre, retrocediendo al 6%. La tasa

de software diseñado para mostrar anuncios no autorizados (adware) ha aumentado

sistemáticamente a lo largo de los últimos años. Durante la segunda mitad de 2011, este tipo de

malware aumentó un 18,5% y, en el período de 2010 a 2011, creció un asombroso 25,4%2. Sin

embargo, se ha observado una disminución en el número de rootkits - unas herramientas

utilizadas para ocultar el malware como, por ejemplo, puertas traseras (backdoors) o programas

espía, de forma que las herramientas del sistema y el software antivirus no puedan encontrarlos.

Estos malware disminuyeron un 10% en la última mitad de año. En el período 2010 - 2011, esta

cantidad disminuyó hasta un 43%. Aunque se observaron menos nuevas variantes de rootkits, aún

2 Para más información sobre ataques de adware interceptados, consulte el capítulo sobre Monitorización de Riesgos



forman una parte importante de la estrategia de autodefensa de los programas de malware. El

número de descargadores (downloaders) también ha disminuido. A lo largo de los últimos seis

meses, incluso ha retrocedido un 18% (9% a lo largo de los últimos dos años). Asimismo, se estima

que la cantidad decreciente de nuevas instancias de malware de explotación incrementará de

forma efectiva la protección del software. Lo ideal es cerrar los vacíos existentes rápidamente,

evitarlos durante la programación o eliminarlos en el proceso de garantía de calidad antes de la

comercialización del producto. Por esta razón, cada vez se ofrecen menos oportunidades para los

ataques. Asimismo, los atacantes sólo necesitan una única vulnerabilidad para dañar un ordenador.

En CVE-2010-08403 se describe una vulnerabilidad que aún es muy popular y que todavía se utiliza

para los ataques.

Gráfico 2: Número de nuevos programas de malware por categoría en los últimos semestres

Familias de malware El malware se agrupa en familias basándose en sus propiedades y en sus actividades. En 2011, el

malware podía agruparse en un total de 3.569 familias diferentes, un 7,7% más que en años

anteriores. Algunas familias son muy productivas y producen nuevas variantes constantemente – a

3 Ver el capítulo sobre Monitorización de Riesgos



lo largo de 2011 se observaron casi 2,6 millones4. La tabla que se muestra a continuación describe

las 10 familias más productivas de malware para las que se crearon nuevas firmas de virus.

Clasificación Familia Categoría Cuota

Dif. frente a

primer semestre

de 2011

1

Genome Troyano 8,5% ±0

Los troyanos de la familia Genome se han mantenido en el primer puesto, muy por delante del resto, e

incluyen funciones como descargadores, registradores de teclado y cifrado de archivos.

2

VBKrypt Troyano 3,7% +1

VBKrypt es una herramienta utilizada para ocultar archivos maliciosos. Las rutinas de camuflaje se han

escrito en Visual Basic y los contenidos de los archivos ocultos son muy diversos y oscilan desde

descargadores y puertas traseras a spyware y gusanos. Esta familia ha perdido 0,9% de su cuota en

comparación con el último semestre pero, así y todo, ha subido una posición.

3

Diple Troyano 3,5% +14

Durante la segunda mitad de 2011, las variantes de la familia Diple aumentaron su cuota un 2,4%. Las

variantes de Diple permiten controlar el ordenador de forma remota y contactar con los servidores de

control. De esta forma, es posible cargar otro malware posteriormente, incluyendo spyware y falsos

antivirus

4

Menti Troyano 2,7% +5

El troyano Menti se incorpora a un sistema atacado y realiza contactos habituales con un servidor. De esta

forma, el ordenador se convierte en parte de un botnet. Con un incremento del 1,2%, Menti ha subido 5

posiciones.

5

OnLineGames Spyware 2,4% +2

Los miembros de la familia OnLineGames se encargan principalmente de robar datos de acceso a juegos.

Para lograr este fin, realizan búsquedas en varios archivos y en entradas de registros y/o se instalan

programas para transmitir las teclas pulsadas. En este último caso, no sólo se roban los datos de los juegos,

sino también otro tipo de información confidencial. La mayoría de los ataques se centran en juegos

populares en Asia. Durante los últimos seis meses, su cuota ha aumentado un 0,7%, haciendo que esta

familia suba dos puestos en la clasificación.

6

Buzus Troyano 2,0% ±0

Los troyanos de la familia Buzus exploran los sistemas infectados de sus víctimas buscando datos

personales (tarjetas de crédito, banca online, accesos de correo electrónico y FTP), para transferir

posteriormente dicha información al atacante. El malware también intenta disminuir la configuración de

seguridad del equipo para facilitar aún más los ataques en el equipo de la víctima.

7

FakeAV Troyano 2,0% -5

Ese troyano pretende ser un software antivirus u otro programa relacionado con la seguridad. Simula el

descubrimiento de múltiples riesgos a la seguridad o infecciones maliciosas en el sistema del usuario, e

intenta engañarle para que pague por un software que limpie el PC. La cuota de las nuevas variantes de

esta familia ha descendido un 3,3% y, como resultado de ello, ha pasado desde la 2ª posición al 7º puesto

de la clasificación.

8

Llac Troyano 1,8% +19

El troyano Llac permite acceso remoto no autorizado a un ordenador y facilita la ejecución de cualquier

software para, por ejemplo, apoderarse de datos o enviar spam. El número de variantes ha aumentado un

1.0%, lo que ha hecho que esta familia suba 20 lugares en la clasificación.

4 Ver Grafico 1



9

Adload Descargador 1,7% +17

Las variantes de la familia Adload carga archivos desde un servidor externo (por ejemplo,

dollarrevenue.com) y los ejecuta posteriormente. Como los archivos maliciosos se almacenan en un

servidor externo, sus funciones maliciosas pueden variar. La mayoría de ellos son adware o spyware. La

cantidad de variantes de Adload ha aumentado un 0,9%, haciendo que pueda alcanzar un puesto en las 10

primeras posiciones.

10

Shiz Puerta trasera 1,6% +67

Las variantes de Shiz han hecho su debut en las 10 primeras posiciones. Se inyectan en el proceso del

sistema services.exe para que se ejecute en el contexto de los servicios del sistema, haciéndolo casi

imposible de detectar con las herramientas estándar habituales. Además de esto, abren una puerta trasera

en el PC que puede ser utilizada para cargar spyware y otro malware. Tabla 1: las 10 familias de malware más productivas en la segunda mitad de 2011



Plataformas:

Windows, principal objetivo; y plataformas móviles en la diana

Salvo algunas excepciones, el malware se elabora para plataformas específicas. Durante años, la

mayoría del malware se ha elaborado para Windows, y esta tendencia no ha cambiado en el

semestre que ahora analizamos. Dos plataformas de la tabla 2 han sido diseñadas para sistemas

operativos Windows: Win incluye código malicioso que funciona con las variantes de 32-bit y de 64-

bit de Windows. Por su parte, MSIL es el nivel intermedio para el código malicioso .NET que, en

principio, no sólo funciona en sistemas Windows, sino también en otras plataformas. Sin embargo,

en la práctica este potencial raramente se explota. Si se combinan estos dos grupos, obtenemos una

cuota del 99,6% para Windows, lo que significa un aumento del 0,1% desde la primera mitad de

2011. Con un 0,2%, WebScripts constituye la cuota más alta del 0,4% restante, aunque la cantidad

de este malware ha disminuido un 23,1%. WebScripts forma la base para el suministro de código

malicioso a través de sitios web. La menor productividad no es, sin embargo, indicación de una

disminución en el uso de código malicioso en los sitios web.

El malware para smartphones (Móvil) ha avanzado una posición. En especial, el número de cepas de

malware para dispositivos de Android ha aumentado más de ocho veces, mientras que el malware

para otras plataformas como J2ME, SymbianOS y WinCE, se ha convertido en algo menos habitual.

En general, el número de cepas de malware para dispositivos móviles ha aumentado 2,5 veces. Si lo

comparamos con las cifras de 2010, el nuevo malware para plataformas móviles se ha incrementado

hasta diez veces de forma interanual (+949%).

Otras plataformas como las versiones de Unix (Linux, BSD etc.), Java y el malware elaborado en

lenguajes de scripting se han convertido en fenómenos menos habituales en la última mitad del

año. Los valores particulares para cada plataforma aparecen en la tabla 2.

Plataforma

Segundo

semestre

de 2011 Cuota

Primer

semestre

de 2011 Cuota

Diferencia

entre

segundo

semestre y

primer

semestre

de 2011

1 Win 1.305.755 98,2% 1.218.138 97,8% +7,2% 2 MSIL 18.948 1,4% 21.736 1,7% -12,8%

3 WebScripts 2.402 0,2% 3.123 0,3% -23,1% 4 Mobile 1.998 0,2% 803 0,1% +148,8% 5 Scripts5 626 <0,1% 832 0,1% -24,8%

6 Java 244 <0,1% 313 <0,1% -22,0% 7 *ix6 34 <0,1% 233 <0,1% -85,4% 8 NSIS7 62 <0,1% 131 <0,1% -52,7% Tabla 2: Principales 8 plataformas en los dos últimos semestres

5 "Scripts" son scripts o programas en lotes o en shell elaborados en lenguajes de scripting VBS, Perl, Python o Ruby. 6 *ix es el acrónimo de todos los derivados de Unix - . Linux, FreeBSD, Solaris etc. 7 NSIS es la plataforma de instalación utilizada para instalar el reproductor de medios Winamp, etc.



Monitorización de riesgos La cantidad de nuevos programas de malware no fue lo único que alcanzó unas cifras récord en

2011, porque también la cantidad de ataques frustrados por las soluciones de seguridad de G Data

registró un aumento mes a mes. La clasificación de los ataques contra usuarios de ordenadores con

MII8 activado muestra la siguiente distribución en el segundo semestre del año:

Tabla 3: Principales 10 malware en el segundo semestre de 2011

Exploit.CplLnk.Gen es una exploit que ya se utilizó en combinación con Stuxnet9 y que aún es muy

utilizado por los ciberdelincuentes. Como este ataque funciona en cualquier versión del sistema

operativo Windows y no se centra en un software en particular, sino en el mismo sistema operativo,

el número potencial de víctimas es naturalmente mayor y, por lo tanto, muy provechosos para los

atacantes. Esto explica que no sorprenda ver que se sitúe como el ataque más repetido en las

clasificaciones semestrales.

El malware que intenta aprovechar la función “Autoplay” en PCs con Windows ha aparecido en los

puestos 4º y 5º de las clasificaciones semestrales. En su sitio web, Microsoft afirma que "el principal

objetivo de Autoplay es ofrecer una respuesta de software a las acciones del hardware iniciadas por

el usuario en la máquina"10. Un uso generalizado de esta función se encuentra, por ejemplo, cuando

se inserta una memoria USB en un ordenador para que el pendrive se cargue inmediatamente,

ejecutando de forma automática cualquier rutina de programa almacenada en dicho dispositivo.

Para evitar que un código malicioso explote esta capacidad de ejecución automática, esta función

debería encontrarse deshabilitada por defecto en el sistema operativo.

También es destacable que encontremos adware en tres de los diez primeros lugares de la

clasificación. Podemos observar importantes fluctuaciones en la cuota de ataques de adware

claramente identificables en la segunda mitad de año11. Sin embargo, y a pesar de todo, estas

8 El Malware Information Initiative (MII) se basa en el poder de la comunidad online y en cualquier cliente que adquiera soluciones de seguridad de G Data para participar en esta iniciativa. El requisito previo es que los clientes deben activar esta función en su solución de seguridad de G Data. Si se hace frente a un malware informático, se envía a G Data Security Labs. G Data Security Labs un informe completamente anónimo sobre este evento, para recopilar y valorar estadísticamente los datos sobre el malware. 9 http://blog.gdatasoftware.com/blog/article/the-microsoft-lnk-usb-worm-rootkit-issue-could-kill-win-xp-sp2-and-win2000-earlier.html 10 http://support.microsoft.com/kb/967715/en 11 Ver figura 3

Clasificación Nombre Porcentaje

1 Exploit.CplLnk.Gen 1,08%

2 Trojan.Wimad.Gen.1 0,91%

3 Java.Exploit.CVE-2010-0840.E 0,90%

4 Worm.Autorun.VHG 0,87%

5 Trojan.AutorunINF.Gen 0,82%

6 Generic.Adware.Adseo.7722145B 0,69%

7 Gen:Variant.Adware.Hotbar.1 0,54%

8 Java.Trojan.Downloader.OpenConnection.AI 0,46%

9 Java.Trojan.Exploit.Bytverify.Q 0,36%

10 Adware.Agent.NGZ 0,35%



amenazas ocupan tres de los primeros diez lugares, ya que una gran cantidad de ataques se

registraron en agosto, septiembre y octubre en particular. En contraste a esto, el número de adware

recién creado aumentó continuamente durante la segunda mitad de 201112. Todo esto indica que el

modelo de negocio de los ciberdelincuentes es aún rentable y lucrativo.

Gráfico 3: cuota de programas potencialmente indeseados (PUP) y su cuota de adware detectados por el Malware

Information Initiative

Un ataque sobre una vulnerabilidad en particular ha aparecido durante mucho tiempo entre los

ataques detectados con mayor frecuencia: el CVE-2010-0840 es aún una vulnerabilidad que se

ataca muy a menudo. En este período de seis meses, hay dos malware relacionados con esta

amenaza: el Java.Exploit.CVE-2010-0840.E y el Java.Trojan.Downloader.OpenConnection.AI.

Los atacantes aún utilizan la vulnerabilidad descrita en CVE-2010-084013 porque muchos usuarios

de ordenadores muestran cierto descuido a la hora de actualizar sus equipos, por lo que este ataque

sigue causando grandes daños. Muchos usuarios no se preocupan de actualizar los equipos o no

conocen los requisitos específicos de ciertas actualizaciones de programas14. Oracle ya ha cerrado en

marzo de 2010 esta vulnerabilidad anteriormente mencionada en Java.

12 Ver figura 2 13 http://blog.gdatasoftware.com/blog/article/various-money-related-spams-serve-as-versatile-attack-vector-to-spread-zeus.html 14 http://blog.gdatasoftware.com/blog/article/the-top-10-threats-in-june-2011.html



Análisis de sitios web Internet es la principal puerta de acceso para los fraudes mediante malware y phishing. Al mismo

tiempo, ese medio está incrementando su importancia para la sociedad en general. No solo se

utiliza para acceder a la información, para participar en juegos, para usar servicios de correo

electrónico o redes sociales o para visitar portales de video o archivos de web, sino también se

utiliza diariamente para hacer negocios o para fines administrativos.

Todo ello justifica un análisis detallado de las áreas que se han convertido en objetivo de los ataques

en el último semestre.



Clasificación por asunto

Una clasificación en función del

contenido de los sitios web

infectados15 en el segundo semestre

de 2011 muestra que los dominios

con ciertos asuntos parecen ser más

atractivos que otros y por tanto,

también sufren una mayor cantidad

de ataques. En el registro total no se

distingue entre dominios

establecidos específicamente para

estos ataques y los sitios legítimos

que fueron manipulados.

Los primeros cinco puestos de esta

clasificación del segundo semestre

de 2011 representan más de la

mitad de todos los dominios

clasificados.

En primera posición aparece la

tecnología y la telecomunicación,

que incluye sitios web con

contenidos relacionados con

Internet, tecnologías de la

información y telecomunicaciones.

En tercer lugar aparece la

pornografía, un tema

generalmente de dudosa

reputación. Sin embargo, análisis

anteriores de G Data han mostrado

que no existe necesariamente una

conexión entre los sitios web con

contenido pornográfico y las

infecciones de malware, y que

algunos usuarios de Internet ya han

llegado a reconocer esta

correlación16.

Basándonos en la experiencia, no resulta sorprendente encontrar sitios web relacionados con

distribución de archivos y redes P2P en unas posiciones tan altas en la clasificación. Una gran

proporción de código malicioso se propaga con la distribución - a menudo ilegal - de archivos

protegidos por derechos de autor. Existe probablemente una razón por la que la categoría de ocio y

15 En este contexto, entre los sitios web malicioso se incluyen los sitios de phising y los de malware 16 Cf. G Data Security, “¿Cómo perciben los usuarios los peligros de Internet?” (2011)

Tecnología y telecomunicación

16.2%

Negocios

11.3%

Pornografía

10.5%

Compras

8.2%

Servicios de intercambio de archivos

7.1%

Ocio

5.2%

Salud

4

Blog

3

Viajes

3

Juegos

3

Gráfico 4: Categorización de sitios web maliciosos por asuntos, segundo semestre de 2011

3,5%

3.7%

4.1%

3.3%



entretenimiento, que ocupa la 6ª posición, se encuentre relacionada con la categoría que se

encuentra en 5º puesto porque, después de todo, los usuarios comparten contenidos de portales

de entretenimiento, incluyendo música, películas y conciertos, además de noticias sobre las estrellas

del espectáculo.

La categoría de blogs, en 8ª posición, contiene listas de cualquier tipo. Como este tipo especial de

sitios web tiene una gran parte de contenidos basados en el usuario son más propensos al abuso

por parte de los ciberdelincuentes. Y, de igual forma, las bitácoras privadas no contienen a menudo

la seguridad apropiada o no están actualizadas técnicamente. De esta forma, se permite a los

atacantes incorporar su contenido malicioso de forma visible o invisible para dañar a los visitantes

del blog infectado.

Conclusión

El peligro se camufla en cualquier website y puede afectar a cualquier internauta. Los

ciberdelincuentes no se centran principalmente en determinados sitios web, sino en intentar llegar

a la mayor cantidad posible de visitantes con el menos esfuerzo posible. Todo depende de la

protección del sitio y servidor web. Y no se trata de hacer generalizaciones ya que no podemos

afirmar que un tema en especial sea mucho más propenso a sufrir un ataque que otro. Si por

ejemplo hay una vulnerabilidad en un sistema de gestión de contenidos, en un plug-in o en un

programa, significa que cualquier servidor web con estas características corre un riesgo potencial,

independientemente del contenido del sitio web. Por lo tanto, es posible que luego se produzca un

ataque masivo y la propagación de toolkits maliciosos para explotación de webs, siendo ésta una

consecuencia a menudo desafortunada, tal y como ocurrió con el ataque de Lizamoon 17 o de

TimThumb en 201118. Aparte de esto, un asunto popular con un elevado número potencial de

visitantes resulta, obviamente, un objetivo más atractivo.

17 http://blog.gdatasoftware.com/blog/article/it-never-stays-quiet-on-the-internet-the-lizamoon-attack-the-update-problem.html 18 http://blog.sucuri.net/2011/08/mass-infection-of-wordpress-sites-counter-wordpress-com.html



Clasificación por emplazamiento del servidor

También resulta interesante examinar la distribución local de los sitios web maliciosos. El mapa de la

¡Error! No se encuentra el origen de la referencia. muestra la cantidad de sitios web maliciosos

hospedados en los diferentes países.

Esto indica que los países más involucrados son los que ofrecen hospedaje barato, además de una

infraestructura digital avanzada. Por lo tanto, no resulta sorprendente que grandes partes de África

no hospeden ninguno o muy pocos dominios maliciosos en servidores locales. Amplios países como

Rusia compensan sus enormes zonas despobladas con grandes capacidades digitales en áreas

metropolitanas y en grandes ciudades.

Otro aspecto que debemos tener en consideración es que la legislación sobre Internet también varía

entre países. Esto convierte a algunos países en más atractivos a los ciberdelincuentes que otros. Un

delito potencial puede ser tratado como ilegal en un país, aunque podría ser tolerado como legal en

otro.

A menudo se ha afirmado que Internet no debe permitirse como un lugar para realizar actividades

ilegales pero, a fecha de hoy, aún no hay legislación mundial y uniforme vigente. Diferentes

territorios tienen sus áreas de responsabilidad y la colaboración entre países puede ser un proceso

difícil, debido en parte a la dificultad para determinar una "escena del crimen" y la jurisdicción que

rige dicho delito.

Sin embargo, el principal criterio para la selección de la localización de un sitio web es el coste

anteriormente mencionado, ya que los ciberdelincuentes desean naturalmente maximizar sus

beneficios, ya sea con sus actividades de phishing o con la distribución de código malicioso.

Gráfico 5: Países que hospedan la mayor cantidad de sitios web maliciosos

Emplazamientos menos populares de

servidores

Emplazamientos populares de servidores



Phishing

Gráfico 6: Websites de phishing en función del contenido

En las bases de datos de G Data Security Labs nos centramos específicamente en los sitios web de

phising y en la información sobre sitios web para su análisis posterior. Esto ofrece como resultado la

siguiente distribución de asuntos en 2011.

Un ejemplo de escenario: los delincuentes reproducen la página de acceso original de un banco,

una red social o de juegos, y utilizan su propio servidor para poner dicha copia online. Las

direcciones URL se eligen a menudo para que casi sea imposible distinguirlas tipográficamente de

las originales. A continuación, los delincuentes interceptan los datos de acceso en cuanto la víctima

los proporciona en una de estas páginas falsas.

Durante la segunda mitad de 2011, las instituciones bancarias y financieras ocuparon la primera

posición, muy por delante de las otras categorías. Más del 60% de todos los sitios web analizados se

encontraban en esta categoría. Las páginas web falsas de acceso de PayPal y del Banco de

Santander fueron utilizadas a menudo como trampas. El objetivo de los delincuentes es apoderarse

de los datos de acceso (nombre y contraseña) y utilizar dicha información para robar dinero y para

cometer otros fraudes.

Con iguales cuotas, las categorías de redes sociales, chats y correo electrónico y juegos ocuparon

el segundo y el tercer puesto. Los datos de acceso de estas dos categorías pueden venderse

fácilmente en el mercado negro. El valor de las cuentas de juegos online como, por ejemplo, World

of Warcraft depende del nivel y del equipo del personaje del juego, pero también se venden piezas

del equipo y monedas virtuales.



Estas cifras ilustran incluso con más claridad por qué los ciberdelincuentes se centran en los juegos.

Los días en los que todo era diversión, píxeles y monedas de oro virtuales hace tiempo que dejaron

de existir. Ahora, el valor del dinero real no debe ser infravalorado.

Además de vender datos de acceso a redes sociales, los delincuentes también abren las puertas de

canales de distribución valiosos a los mensajes spam y a códigos maliciosos. Para los delincuentes,

la ventaja clara es que es más probable que los usuarios de redes sociales confíen en mensajes

dejados en muros y en mensajes personales de amigos para hacer clic en ellos.

Con una cuota del 10%, el 4º lugar de los sitios de subastas y de compras les hizo perder por poco

un lugar en el podio. Esta categoría incluye, por ejemplo, sitios de phishing dirigidos a los clientes de

eBay. Si los encargados de realizar los ataques de phishing se apoderan de estos datos, pueden

cambiar la información bancaria de las cuentas para objetos vendidos a sus propios datos bancarios

para, de esta manera, recibir cualquier pago. Esto resulta especialmente desastroso para los

suministradores comerciales que, a menudo, venden cientos de artículos al mismo tiempo.

Captura de pantalla 1: la cuenta más cara de WoW en estos momentos se ofrece a la venta en una plataforma más o menos legal.



Gráfico 7: Número de cuentas bancarias online en Alemania (en millones) (Fuente: Asociación Federal de Bancos Alemanes)

Banca online La banca online es un servicio utilizado por un número cada vez más

importante de personas. A medida que aumenta su popularidad y la

aceptación masiva por parte de los usuarios, los ciberdelincuentes se

sienten atraídos por la posibilidad de explotar sus vulnerabilidades y

obtener beneficios económicos con sus acciones. De la misma manera

que aumenta el número de usuarios, también lo hace la “intensidad de

la actividad delictiva y el ciberdelito y, también, el grado de riesgo de

los usuarios de Internet”19, tal y como afirmó la policía alemana

(Federal Criminal Police Office, BKA) en su Informe Anual de 2010.

Aunque la introducción del proceso iTAN en banca online condujo

inicialmente a menos casos reportados a la policía (1.779 casos en

Alemania en 2008), esta cifra ha aumentado paulatinamente desde

entonces (5.331 casos en 2010). Sin embargo, se piensa que el número

real es mucho mayor y la BKA estima que “sólo se informa de,

aproximadamente, un 40% de los casos”20. Así y todo, sólo los casos

informados acumularon una estafa global cifrada en más de 21,2

millones de euros en 2010 en Alemania (a una media de 4.000 € por

caso) frente a los 11,7 millones de 2009.21

En el pasado, los ataques de phishing bastaban para obtener los datos

de acceso de los usuarios, utilizando para ello correos electrónicos y

falsos aunque sofisticados websites que imitaban a los de las instituciones financieras. Después de

la introducción de los TAN como capa adicional de seguridad en banca online, los estafadores

tuvieron que diseñar sus ataques para obtener también dichos TAN, empleando para ello nuevas

fórmulas de phishing o incluso nuevos medios técnicos –era el principio de la técnica conocida

como the man in the middle-. Cuando los bancos comenzaron a utilizar una nueva capa de

seguridad – cifrado SSL del tráfico de datos – los ladrones de datos tuvieron que ponerse al día una

vez más.

El malware cada vez más sofisticado es ahora la herramienta preferida e indispensable. Los nuevos

ataques usan troyanos diseñados especialmente para banca que permiten la manipulación de

comunicaciones cifradas entrantes y salientes de los sitios web. En los casos más sencillos, el

troyano muestra una ventana de información de aspecto auténtico que solicita la lista TAN completa

del usuario del servicio bancario online. Pero también existen mecanismos más refinados que

pueden funcionar sin que el usuario pueda detectarlos.

Unos estudios recientes han mostrado que la siguiente línea de ataque para los delincuentes va a

centrarse en los teléfonos móviles, ya que los bancos los están utilizando cada vez más para realizar

operaciones con TAN móviles (mTAN). El malware Android.Trojan.Spitmo.A es el primero que

acata activamente dispositivos móviles Android para interceptar mTAN. También se han observado

19http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010,t

emplateId=raw,property=publicationFile.pdf/cybercrime2010.pdf 20 dito 21 dito



ataques similares en teléfonos móviles con sistema operativo Symbian, afectados por el malware

ZitMo (una abreviatura de ZeuS in the Mobile).

Los troyanos bancarios continúan basándose en el mismo modelo de negocio. Conviven

relativamente pocas familias que además de der utilizadas para estas actividades delictivas se

venden a otros delincuentes (malware como un servicio). Muchos troyanos para el sector bancario

también utilizan métodos especiales para evitar ser detectados por los programas antivirus.

Normalmente, los usuarios adquieren software de cifrado especial y adicional para archivos binarios

(crypters) para cambiarlos. Los proveedores de software antivirus se ven, por lo tanto, forzados a

publicar frecuentemente actualizaciones de firmas de virus. Se ha indicado recientemente que la

vida útil media de los archivos binarios de este tipo es de tan solo 27 horas y raramente superan las

72 horas22. Como los proveedores de software antivirus raramente ofrecen actualizaciones de firmas

en este escaso período de tiempo23, los troyanos bancarios representan un grave riesgo para los

usuarios de Internet.

Como muchos otros programas de malware, los troyanos bancarios se aprovechan de las

vulnerabilidades y brechas de seguridad. Los puntos débiles en los sistemas informáticos de los

usuarios se identifican y se utilizan para descargar e instalar malware en el ordenador de la víctima

(drive-by-download) sin conocimiento del usuario. En cuanto a los ciberdelincuentes, ya no

necesitan estar perfectamente informados de las últimas vulnerabilidades y tampoco necesitan

grandes conocimientos técnicos. Ahora sólo tienen que acudir a los mercados negros de Internet y

comprar alguno de los kits que allí se oferten y que se venden listos para usarse. Existe una cadena

perfectamente engrasada y el que descubre la vulnerabilidad y diseña el malware no tiene por qué

ser necesariamente el autor del ciberataque.

22 Ver Gráfico 8 23 Buescher, Armin / Leder, Felix / Siebert, Thomas: Banksafe. Information Stealer Detection Inside the Web Browser. RAID 2011, Springer

Lecture Notes in Computer Science (Vol. 6961) / Septiembre de 2011

100%

1 día 3 días

50%

2 días

Gráfico 8: ciclo de vida de los troyanos en el sector bancario



Desde finales de 2010 y durante 2011,

uno de las evoluciones más llamativas

ha sido la del troyano bancario más

popular: ZeuS. A finales de 2010, su

creador anunció que abandonaba el

mercado y dejó de vender el troyano

que popularizó la incorporación de

código malicioso en la web. Al mismo

tiempo, se supo que el código fuente

había sido proporcionado al creador

de SpyEye. Desde entonces, algunas

funciones de ZeuS se han integrado

en SpyEye, y SpyEye se está

comercializando como un sucesor

legítimo de ZeuS. El número de

detecciones de ZeuS y de SpyEye por

G Data en 2011 confirma esta

evolución.

A principios de 2011, un desconocido ofreció el código fuente de ZeuS para su venta en un foro del

mercado negro a un precio de USD 100.000. En mayo de 2011, el código fuente fue finalmente

publicado a través de canales desconocidos.

Esta fue la primera vez que se publicó el código fuente de un troyano para el sector bancario. A lo

largo del año – tras la publicación del código fuente – aparecieron las primeras variantes de ZeuS

(como, por ejemplo, LICAT e IceIX), lo que produjo como resultado un aumento repentino en el

número de detecciones de ZeuS, en especial durante el cuarto trimestre de 2011. Asimismo, se

esperan nuevas variantes de ZeuS en 2012.

El troyano más veces detectados en 2011 fue Sinowal, que se caracteriza por los cambios frecuentes

de los mecanismos de infección y de los rootkits que utiliza. En el pasado, utilizó el rootkit para MBR

Mebroot, pero actualmente hay veces lo sustituye por el rootkit para MBR TDSS y, a veces, por un

componente de rootkit autoelaborado.

En el último trimestre de 2011, se observó un increíble aumento en el número de detecciones del

troyano para el sector bancario Carberp. El éxito renovado de este troyano parece que se debió a la

integración de un rootkit en una versión más actualizada.

Gozi, Silentbanker y Bebloh no han tenido un papel destacado, aunque Bebloh destaca

frecuentemente por sus estrategias particularmente sofisticadas como, por ejemplo, los llamados

ataques de vuelta. En este tipo de ataques, los sitios de banca online manipulados por el troyano

comunican al cliente que su cuenta ha recibido una transferencia bancaria equivocada y solicita una

devolución de la transferencia. El saldo de la cuenta muestra una cantidad de dinero adicional. Si el

cliente transfiere la cantidad a la cuenta especificada por el delincuente, perderá el dinero, porque la

cantidad adicional mostrada nunca ha existido. Lo que resulta asombroso de este ataque es que

funciona independientemente del mecanismo de autenticación utilizado, ya sea un iTAN, un

Gráfico 9: cuota de familias de troyanos detectadas por G Data BankGuard durante el segundo semestre de 2011



chipTAN o mobileTAN. Los usuarios confiados realizan ellos mismos la transferencia, por lo que los

atacantes evitan la manipulación de los procesos de autenticación.

Malware móvil El aumento de malware móvil para el SO Android no deja de crecer a medida que se incrementa su

popularidad. En diciembre de 2010 se activaron unos 300.000 dispositivos Android al día y en junio

de 2011 la cifra rondaba el medio millón… aunque no se quedó ahí. En diciembre del año pasado el

número de activaciones

diarias era de

aproximadamente de

700.000, una cifra que no

dejó de crecer hasta alcanzar

el pico de 3,7 millones de

activaciones durante los días

24 y 25 de diciembre del año

pasado, según un mensaje

de Andy Rubin, cofundador y

jefe de desarrollo en Android

Inc., en Twitter24.

Este desarrollo, además del número de aplicaciones disponibles en el Android Market, sitios web y

otros proveedores, hace que los dispositivos móviles sean objetivos más apetecibles para los

creadores de malware. En diciembre de 2011, Google anunció que Android Market había superado

el hito de 10.000 millones de descargas25.

Los creadores de malware para Android aún tienen muy pocas barreras organizativas que derribar.

Todo lo que tienen que hacer para desarrollar aplicaciones para los mercados oficiales es abonar

25$ para contar con una cuenta de desarrollador de Google, una cantidad de dinero ridícula para

cualquier delincuente. Si Google elimina una cuenta de desarrollador, los autores de malware sólo

necesitan abrir otra nueva para mantener sus actividades delictivas y seguir propagando malware.

Sin embargo, es más fácil publicar malware móvil en sitios o mercados de terceras partes. Incluso si

el código malicioso se descubre y se elimina del Android Market oficial, continuará fácilmente

disponible en estos otros canales de distribución para aplicaciones..

Hay 1.998 nuevos programas de malware para las plataformas móviles26. No se está produciendo

tanto una excesiva creación de nuevo malware, como el desarrollo de numerosas y sencillas

variantes de las amenazas móviles existentes. Por ejemplo, hay programas que ofrecen fondos de

pantalla o una forma fácil para utilizar servicios como el acceso a vídeo “a la carta”. El número de

puertas traseras para móviles ha crecido en el segundo semestre de 2011 un 285% respecto a los

seis primeros meses del año.

24 http://twitter.com/ARUBIN 25 http://googleblog.blogspot.com/2011/12/10-billion-android-market-downloads-and.html 26 Ver tabla 2

Captura de pantalla 2: mensajes de Andy Rubin en Twitter sobre las activaciones de dispositivos Android, a finales de 2011 (fuente: http://twitter.com/ARUBIN)



El troyano Android.Trojan.FakeNetflix.A, o Fake NetFlix en forma abreviada, es un malware

sencillo que consulta los datos de acceso de NetFlix27. Este troyano transfiere los datos recopilados a

un servidor específico. Cuando el usuario intenta acceder, aparece un mensaje de incompatibilidad

para garantizar que el usuario no sospeche de ninguna actividad indeseada.

La principal forma de propagación del malware de Android es aún copiando, manipulando y

volviendo a publicar aplicaciones ya conocidas y originalmente inocuas. Estas nuevas versiones con

troyano son más frecuentes en mercados de terceros, pero muchas de ellas también se han

encontrado disponibles en el Android Market oficial.

Un ejemplo de esto último lo

constituye el malware

Android.Backdoor.LeNa.A, o

LeNa en su forma abreviada

(Legacy Native). LeNa es una

puerta trasera que se copia a sí

misma en los directorios del

sistema para que se inicie

cuando se arranque el sistema.

Si esto funciona, LeNa se

conecta a un servidor externo

aproximadamente cada hora y

transfiere datos que identifican

el dispositivo de forma

exclusiva. Gracias a su

estructura dinámica, una

puerta trasera como LeNa puede cargar software adicional sin ninguna acción del usuario,

ofreciéndolo para su instalación, proporcionando así un mecanismo de ataque en los smartphones

Android. Sin embargo, para que se active la puerta trasera, necesita unas autorizaciones

apropiadas28, que precisan que los dispositivos móviles se encuentren desbloqueados para admitir

cambios. Si ese no es el caso, LeNa ofrece al usuario unos enlaces a instrucciones y herramientas

que explican al usuario cómo autorizar los cambios en el dispositivo. Esto demuestra una vez más

que no es recomendable rootear totalmente un dispositivo móvil para autorizar cualquier cambio.

Un análisis de las funcionalidades del malware detectado en la segunda mitad del año muestra que

dominó aquel que estaba diseñado para apoderarse de datos y para enviar mensajes de texto con

tarifas premium. El avance en ese terreno ha sido impresionante, puesto que los datos pueden ahora

ser interceptados a los pocos segundos y la aplicación, en el caso de los troyanos

Android.Trojan.GoneSixty.A o Fake NetFlix, pueden iniciar un proceso de autoeliminación para

borrar cualquier rastro del ataque con el objetivo que, de esta forma, el usuario no observe ningún

cambio ni pueda ver alguna aplicación desconocida que le haga sospechar sobre el ataque llevado a

cabo.

27 NetFlix es una compañía de EE.UU. que alquila DVD y Blu-ray por correo en determinados países, además de ofrecer vídeo a la carta. 28 Ver captura de pantalla 3, a la derecha de la página

Captura de pantalla 3: imagen de una aplicación que infecta dispositivos móviles Android.Backdoor.LeNa.A



Entre las funciones maliciosas más invasivas se incluyen el registro de smartphones para el uso de

servicios de alta tarificación sin el conocimiento del usuario y el desbloqueo de los terminales

Android para ofrecer a los creadores de malware el control total de todas las funciones del

smartphone. Hasta la versión 2.2 de Android, se utilizó la muy conocida explotación Rage Against

the Cage. Desde la versión 2.3 en adelante, el mecanismo favorito de ataque fue GingerBreak,

debido al cierre de la vulnerabilidad conocida que explotaba Rage Against the Cage.

Una nueva forma de ataque ridiculiza al usuario, tal y como ha ocurrido con el troyano

Android.Trojan.Walkinwat.A, o Walkinwat en su forma abreviada, que fue el primero de un tipo

de malware que se mofa de los usuarios que han descargado de forma ilegal una aplicación de una

página web no autorizada. El malware envía mensajes de texto a todos los contactos de la lista de

direcciones de la víctima, diciendo: "Hey, acabo de descargar la versión pirata de la aplicación Walk

and Text de Android. Soy estúpido y rastrero porque sólo costaba 1 dólar. ¡No robes como yo he

hecho!”

Los usuarios que descargaron un juego llamado Dog Wars también fueron tratados como

malvados. En este juego, los jugadores entrenan un perro de lucha virtual para competir en peleas

de perros virtuales con otros jugadores. Sin

embargo, la aplicación envía un mensaje de

texto a todos los contactos en el dispositivo,

afirmando: “Me encanta hacer daño a los

animales pequeños y pensé que te gustaría

saberlo".

Aunque una amplia mayoría de las cepas de

malware solían estar ceñidas a la región de

Asia, noviembre de 2011 marcó la fecha en la

que apareció el primer troyano que vinculaba

números de teléfono a servicios de tarificación

elevada en los diferentes países, pudiéndose

ejecutar la estafa en Francia, Bélgica, Suiza,

Luxemburgo, Alemania, España e Inglaterra. El Android.Trojan.SuiConFo.A (SuiConFo abreviado),

simulaba ser para la gestión de costes. Una vez instalada por el usuario aparecía un mensaje de error

advirtiendo de una aparente incompatibilidad entre la aplicación y el dispositivo, de forma parecida

a lo que ocurrió con el troyano Fake NetFlix. Nada más parecía ocurrir pero, sin embargo, en un

segundo plano SuiConFo envía varios mensajes de texto a servicios de alta tarificación. Si se envía

una confirmación SMS al smartphone, el troyano se encarga de interceptarla para que el usuario no

sea consciente de las consecuencias del ataque hasta que reciba la factura.

Los troyanos encargados de automatizar el envío de SMS a servicios de tarificación especial

constituyen uno de los mecanismos más cómodos y sencillos para obtener beneficios económicos

de forma rápida. Esta variante de malware se ha propagado ahora por todo el mundo. Los

proveedores de malware crean listas especiales para los diferentes países objetivo, con del fin de

usar los números de alta tarificación correctos en cada territorio para, de esta manera, lograr éxito

sus ataques.

Captura de pantalla 4: la aplicación DogWars, que

infecta a dispositivos móviles con

Android.Trojan.DogoWar.A



Y a finales del año pasado, los creadores de malware ampliaron sus intenciones y objetivos. Ya

usado con frecuencia en 2011, el término "hacktivismo", que se refiere – entre otras cosas – al

activismo político mediante el empleo de

ciberataques- se amplió al campo del malware

móvil. El troyano Android.Trojan.Arspam.A, que

se descubrió por vez primera el 19 de diciembre,

propaga contenidos con motivación política.

Cuando el usuario instala el troyano - que precisa

autorización para acceder a todos los datos y

estadísticas, además de enviar mensajes de texto-

el smartphone se ve infectado con el troyano

Arspam, y envía luego mensajes de texto a todos

los contactos en la libreta de dirección sin conocimiento del usuario. Asimismo, la versión del

troyano descubierto también instala un servicio que envía un enlace seleccionado aleatoriamente

de uno de los artículos de 18 foros sobre Oriente Medio a todos los contactos en la libreta de

direcciones del smartphone infectado. Si el smartphone se encuentra en Bahréin, también intenta

instalar un archivo PDF que contiene una serie adicional de mensajes de contenido político.

La capacidad de adaptación del malware ya causó un gran revuelo

a finales de 2011 y ofrece un panorama negativo para 2012. Los

ataques ya no se limitan a Asia, sino que se propagan por todo el

mundo con solo unos pequeños ajustes. Bastan por ejemplo unas

sencillas combinaciones de nombres de países y los respectivos

números de tarificación especial para asegurar que el malware

pueda ser utilizado fuera del país en donde se haya desarrollado,

lo que incrementa el daño financiero a las víctimas, además de los

beneficios potenciales a los delincuentes.

El objetivo de los delincuentes digitales continuará desplazándose

hacia los dispositivos móviles en 2012, porque la proporción entre

la cantidad de trabajo necesario y los beneficios obtenidos aún

resulta muy ventajosa. Siempre que las aplicaciones no se

comprueben minuciosamente antes de ponerse a disposición de

los usuarios en el Android Market oficial, se tardará algo de tiempo

antes de advertir y eliminar el malware. Para entonces, sin

embargo, los dispositivos móviles ya han podido ser infectados. El

incremento de las ventas de dispositivos Android también hace

más atractivo el Android Market para los delincuentes.

Como el uso de smartphones está aún lejos de agotarse, las nuevas tecnologías siempre ofrecerán

nuevos objetivos. Un ejemplo en el futuro inmediato será el pago con NFC (implementado en la

versión 2.3 de Android y en versiones superiores). Los ataques automáticos crearán más problemas -

ya existen los estudios de viabilidad correspondientes- y es sólo cuestión de tiempo que los usuarios

Screenshot 6: App that spreads the

Trojan Android.Trojan.Arspam.A

Captura de pantalla 5: imagen de una aplicación que infecta a dispositivos móviles con Android.Trojan.Walkinwat.A



sufran ataques en los que no tengan que participar activamente. Y cuando llegue el momento para

este tipo de ataques, nos veremos obligados a hacer frente a una amenaza totalmente nueva.

g data informe de malware informe bianual julio ... g data... · malware: datos y cifras cifras...

Documents