Desarrollo de las amenazas informáticas en el segundo trimestre de 2017 Estadística
Roman Unuchek, Fedor Sinitsyn, Denis Parinov, Alexander Liskin - August 15, 2017. 9:00 am
CONTENIDOS
Cifras del trimestre
Según los datos de KSN, las soluciones de Kaspersky Lab neutralizaron 342 566 061 ataques lanzados desde recursos de Internet ubicados en 191 países del mundo.
Se registraron 33 006 783 direcciones URL únicas que provocaron reacciones del antivirus web.
Se neutralizaron intentos de ejecución de programas maliciosos que roban dinero mediante el acceso en línea a cuentas bancarias en los equipos de 224 675 usuarios.
En los equipos de 246 675 usuarios se neutralizaron ataques de cifradores.
Nuestro antivirus para archivos detectó 185 801 835 objetos nocivos y potencialmente indeseables únicos.
Los productos de Kaspersky Lab para la protección de dispositivos móviles detectaron:
-
1 319 148 paquetes de instalación maliciosos;
-
28 976 paquetes de instalación de troyanos bancarios móviles;
-
200 054 paquetes de instalación de troyanos extorsionadores móviles.
-
Amenazas móviles
Particularidades del trimestre
Spam SMS
El último trimestre escribimos sobre la activación del troyano bancario móvil Trojan-Banker.AndroidOS.Asacub, que los atacantes enviaban activamente a través de spam SMS. Al final del segundo trimestre, identificamos una campaña de mayores dimensiones para difundirlo: en junio, detectamos que se había infectado a tres veces más usuarios que en abril, y la primera semana de julio ese crecimiento continúa.
Número de usuarios únicos atacados por Trojan-Banker.AndroidOS.Asacub en el segundo trimestre de 2017
Actualizaciones de Ztorg
Otro tema interesante del que hablamos en el primer trimestre del informe conserva su vigencia en el segundo: los delincuentes siguieron poniendo en Google Play nuevas aplicaciones con el módulo malicioso Ztorg. Es interesante que durante el trimestre documentamos la publicación de módulos maliciosos adicionales de Ztrog, y no solo de los principales. Así, descubrimos un troyano que puede instalar Google Play e incluso comprar aplicaciones en esta tienda. Además, detectamos Trojan-SMS.AndroidOS.Ztorg.a, que puede enviar SMS de pago.
Cabe destacar que ninguno de los dos programas maliciosos intentó explotar las vulnerabilidades del sistema para obtener derechos de superusuario, en contraposición al módulo principal de Ztrog. Recordamos que Trojan.AndroidOS.Ztorg trata de obtener derechos de root para mostrar anuncios e instalar de forma encubierta nuevas aplicaciones, entre ellas los módulos adicionales descritos anteriormente.
Dvmap, un nuevo troyano
En abril, detectamos otro troyano de root que se propagaba a través de la tienda de apps Google Store. Este es un troyano bastante inusual, cuya principal característica es que puede modificar las bibliotecas del sistema. Utiliza las vulnerabilidades del sistema para obtener derechos de superusuario y, a continuación, escribe su código en la biblioteca del sistema.
Suscripciones WAP
En el segundo trimestre de 2017 registramos un aumento en la actividad de los troyanos que roban el dinero de los usuarios a través de suscripciones de pago (describimos por primera vez este tipo de ataque hace dos años). Recordamos que los servicios de suscripción de pago son sitios especiales que le permiten pagar sus servicios desde su cuenta de teléfono móvil. Antes de obtener un servicio, se remite al cliente al sitio del operador móvil, donde se le pide que confirme su acción. El operador también puede utilizar SMS para confirmar el pago. Los troyanos ya aprendieron a eludir todas estas restricciones. Pueden hacer clics en los formularios de confirmación mediante el uso de archivos JS especiales sin que el usuario se dé cuenta. Además, los troyanos pueden ocultar al usuario los mensajes enviados por el operador móvil.
Descubrimos que en algunos casos, después de la infección, el troyano Ztorg puede instalar módulos adicionales con esta funcionalidad. Y la familia de troyanos Trojan-Clicker.AndroidOS.Xafekopy es capaz de atacar este tipo de servicios en la India y Rusia utilizando archivos JS similares a los utilizados por Ztrog.
Dos programas maliciosos de nuestro TOP 20 de los troyanos más populares de este trimestre también atacan suscripciones WAP. Se trata de Trojan-Clicker.AndroidOS.Autosus.a y Trojan-Dropper.AndroidOS.Agent.hb. Además, los troyanos más populares del trimestre detectados por nuestro sistema de aprendizaje de máquinas también eran malware que usaban suscripciones móviles.
Estadística de las amenazas móviles
En el segundo trimestre de 2017, Kaspersky Lab detectó 1 319 148 paquetes de instalación maliciosos. Esta cifra ha permanecido prácticamente inalterada en comparación con los dos trimestres anteriores.
Número de paquetes de instalación de malware detectados, tercer trimestre de 2016 – segundo trimestre de 2017.
Distribución por tipo de los programas móviles detectados
Distribución por tipo de los nuevos programas móviles detectados, primer y segundo trimestres de 2017.
Entre todos los programas móviles detectables, la participación de AdWare (13,31%) fue la que más creció en el segundo trimestre, en 5,99 puntos porcentuales. La mayoría de los paquetes de instalación se detecta como AdWare.AndroidOS.Ewind.iz y AdWare.AndroidOS.Agent.n.
La segunda tasa de crecimiento más rápida fue la de los programas maliciosos Trojan-SMS (6,83%), cuya participación creció 2,15 puntos porcentuales. El principal número de paquetes de instalación detectados pertenece a las familias SMS.AndroidOS.Opfake.bo y Trojan-SMS.AndroidOS.FakeInst.a, que mostraron un crecimiento de más de tres veces en comparación con el trimestre anterior.
La proporción de Trojan-Spy fue la que más se redujo hasta el 3,88%. Recordemos que este tipo mostró algunas de las tasas de crecimiento más elevadas en el último trimestre gracias al aumento en el número de familias de malware Trojan-Spy.AndroidOS.SmForw y Trojan-Spy.AndroidOS.SmsThief.
La participación de Trojan-Ransom, que demostró el mayor crecimiento el trimestre anterior, disminuyó en 1,33 puntos porcentuales, hasta el 15,09%.
TOP 20 de programas maliciosos móviles
La siguiente clasificación de software malicioso no incluye programas potencialmente peligrosos o indeseables, tales como RiskTool y Adware.
El primer lugar en el Top 20 del segundo trimestre, como ya es tradición, lo ocupa el veredicto DangerousObject.Multi.Generic (70,09%), que utilizamos para el malware detectado mediante tecnologías de nube. Estas tecnologías funcionan cuando en las bases antivirus todavía no hay ni firmas ni heurísticas que detecten el programa malicioso, pero en la nube de la compañía antivirus ya hay información sobre el objeto. En esencia, así es como se detectan los programas maliciosos más nuevos.
El segundo lugar lo ocupa Trojan.AndroidOS.Boogr.gsh (15,46%). Este veredicto detecta los archivos que son reconocidos como maliciosos por nuestro sistema basado en el aprendizaje de máquinas. El porcentaje de este veredicto casi se ha triplicado desde el trimestre anterior, lo que le permitió pasar del tercero al segundo lugar. En el segundo trimestre, este sistema detectó con mayor frecuencia troyanos, que suscribían al usuario a servicios de pago, y también troyanos publicitarios que usan derechos de superusuario.
En el tercer lugar está el troyano móvil Trojan.AndroidOS.Hiddad.an (4,20%). Este malware se hace pasar por juegos o programas populares. Lo interesante es que al ejecutarse descarga primero la aplicación que simula ser, y cuando ésta se instala, pide derechos de administrador para contrarrestar su eliminación. El objetivo principal de Trojan.AndroidOS.Hiddad.an es mostrar agresivamente publicidad, y su público principal está en Rusia. En el trimestre anterior, este troyano ocupó el segundo lugar de nuestro ranking.
Trojan-Dropper.AndroidOS.Hqwar.i subió del octavo al cuarto lugar (3,59%). Este veredicto se aplica a los troyanos protegidos por determinados programas empaquetadores o de ofuscación. En la mayoría de los casos, bajo este nombre se esconden los representantes de las familias de troyanos bancarios FakeToken y Svpeng.
En el quinto lugar está el troyano Backdoor.AndroidOS.Ztorg.c. Este es uno de los troyanos publicitarios más activos entre los que utilizan derechos de superusuario. En total, en el segundo trimestre de 2017 en nuestro TOP 20 entraron once troyanos (resaltados con azul en la tabla) que tratan de adquirir o usar derechos de root, y que utilizan la publicidad como principal medio de monetización. Su fin es mostrar al usuario la mayor cantidad de publicidad posible de diversas maneras, entre ellas la instalación secreta de nuevos programas de publicidad. Al utilizar los derechos de superusuario, pueden “ocultarse” en la carpeta del sistema, donde son muy difíciles de eliminar. Vale decir que en los últimos tiempos observamos una disminución en el número de malware de este tipo en el TOP 20 (en comparación, el trimestre anterior había catorce troyanos en esta lista).
El sexto lugar le pertenece a Trojan-Dropper.AndroidOS.Agent.hb (3,16%), que es un complejo troyano modular cuya principal parte maliciosa se descarga del servidor de los delincuentes. Suponemos que este troyano está destinado a robar dinero mediante suscripciones de pago.
En el undécimo lugar está Trojan-Clicker.AndroidOS.Autosus.a (2,08%), cuya principal tarea es activar suscripciones de pago. Para hacerlo, sabe “pulsar” los botones en los catálogos web de suscripción, y también ocultar los SMS entrantes con información sobre los mismos.
Trojan.AndroidOS.Agent.bw ocupó el decimocuarto lugar en la estadística (1,67%). Este troyano está dirigido principalmente a los pobladores de India y al igual que Trojan.AndroidOS.Hiddad.an intenta hacerse pasar como programas y juegos legítimos. Pero en realidad, descarga e instala varias aplicaciones desde el servidor de los delincuentes.
En el décimo quinto lugar tenemos a Trojan.AndroidOS.Agent.gp (1,54%), que roba el dinero de los usuarios haciendo llamadas de pago. Gracias a los derechos de administrador, neutraliza los intentos de eliminarlo del dispositivo infectado.
El puesto 17 de la estadística lo ocupa el troyano bancario móvil Trojan-Banker.AndroidOS.Svpeng.q (1,49%). Esta familia ha sido muy activa en el último año y es el troyano bancario móvil más popular en el segundo trimestre de 2017.
Geografía de las amenazas móviles
Mapa de intentos de infección por programas maliciosos móviles en el segundo trimestre de 2017
(porcentaje del total de usuarios atacados)
TOP 10 de países según el porcentaje de usuarios atacados por malware móvil:
* Hemos excluido de la clasificación a los países donde el número de usuarios del laboratorio antivirus móvil de Kaspersky Lab es relativamente pequeño (menos de 10000).
** Porcentaje de usuarios únicos que han sido atacados en el país, del total de usuarios del antivirus móvil de Kaspersky Lab en el país.
En el segundo trimestre de 2017, como en el trimestre anterior, Irán (44,78%) fue el país con el mayor porcentaje de usuarios móviles atacados. China (31,49%) ascendió al segundo lugar, seguida por Bangladesh (27,10%).
Rusia (12,10%) ocupó el puesto 26 esta vez (en el trimestre anterior estaba en el puesto 40). Francia (6,04%) ocupó el puesto 58; los EE.UU. 4,5%) resultaron en el 71; Italia (5,7%), el 62; Alemania (4,8%), el 67 y Gran Bretaña (4,3%), el 73.
Los países más seguros por la cantidad de usuarios atacados son: Dinamarca (2,7%), Finlandia (2,6%) y Japón (1,3%).
Troyanos bancarios móviles
Durante el período cubierto por el informe, detectamos 28 976 paquetes de instalación de troyanos bancarios móviles, 1,1 veces menos que en el cuarto trimestre de 2017.
Aplicaciones vulnerables usadas por los delincuentes
El segundo trimestre de 2017 las vulnerabilidades encontradas en el mundo real estuvieron muy en boga. La aparición de varias vulnerabilidades de día 0 para Microsoft Office dio lugar a un cambio significativo en el panorama de los exploits utilizados.
A principios de abril se descubrió la vulnerabilidad lógica en el procesamiento de objetos HTA (CVE-2017-0199) que permite a un atacante ejecutar código arbitrario en un equipo remoto mediante un archivo especialmente generado. Y aunque se había publicado la actualización para esta vulnerabilidad el 11 de abril, el número de usuarios de Microsoft Office que fueron atacados aumentó en casi tres veces, hasta alcanzar la cifra de 1 500 000. Usando esta vulnerabilidad se implementó el 71% de todos los ataques a usuarios de Microsoft Office, y los documentos con exploits para la vulnerabilidad CVE-2017-0199 se utilizaron con gran frecuencia en el spam.
