Según los reportes de la empresa líder de seguridad informática Kaspersky Lab, en el año 2020 fueron descubiertos 5683694 paquetes de aplicaciones maliciosas, 2,1 millones más que en el 2019, y entre los nuevos programas malignos para móviles 156710 troyanos bancarios y 20708 ransomwares (secuestradores de archivos).

En la actualidad Android es el sistema operativo más usado en el mundo por encima de Windows, iOS y otros; corroborando la tendencia de los dispositivos móviles a ganar un espacio privilegiado en la mente de los usuarios como medio para adentrarse en el cada vez más complejo y rico mundo digital. De ahí que el mismo se haya convertido en un objetivo de ataque para los desarrolladores de programas malignos.

Actualmente los dispositivos móviles permiten realizar una amplia gama de actividades mediante la instalación de aplicaciones. Es posible acceder a las versiones digitales de los medios tradicionales de información, interactuar con otros usuarios en las redes sociales y videojuegos de forma instantánea. Se puede gestionar cuentas bancarias de forma remota, así como realizar pagos en línea. Los teléfonos móviles contienen por lo general una gran cantidad de datos personales, no solo fotos y videos, también almacenan credenciales de acceso a las cuentas bancarias en línea, monederos de criptomonedas y perfiles de redes sociales. De ahí que la explotación de una vulnerabilidad en el sistema operativo o la concesión indebida de permisos innecesarios a las aplicaciones que instalamos, las configuraciones que aplicamos y las políticas que aceptamos permitirían potencialmente a un atacante acceder a nuestra información personal, adueñarse de nuestro dinero, suplantar nuestra identidad y comprometer a familiares, amigos y hasta nuestro centro de trabajo. Por tanto, queda claro que uno de los objetivos de los programas malignos es la obtención de esa información. Por ejemplo, el troyano Cookiethief, se apodera de los identificadores de sesión web y de esta forma un atacante podía, por ejemplo, colocar en la cuenta de Facebook de su víctima un enlace a phishing o para propagar spam. Esta información es inaccesible para las aplicaciones normalmente, por lo que el troyano emplea un exploit para obtener privilegios de administrador y así tener acceso.

Durante 2020, el tema de la pandemia y la palabra COVID fue la más utilizada en los nombres de aplicaciones que contenían spyware (programa espía), troyanos bancarios, adware (programa que muestra publicidad no solicitada) y otros troyanos. También la palabra coronavirus fue muy utilizada para simular aplicaciones que pretendían ayudar con el manejo de la enfermedad. Es común que los temas de mayor interés en el mundo sean usados para atraer a las víctimas evidenciando que la ingeniería social sigue siendo un arma muy efectiva empleada por los ciberdelincuentes.

Uno de los tipos de malware que más aumentó su presencia con respecto a 2019 fue el Adware y una de las características que presentó fue la dificultad para identificar la aplicación que muestra los anuncios, como una forma de evitar que estos desaparezcan desinstalando la aplicación. Un caso particular es cuando el adware está preinstalado, o sea, el fabricante incluye una aplicación o componente adware con el firmware del dispositivo. Esto impide eliminar el programa maligno, ya que ninguna solución de seguridad es capaz de leer una partición del sistema operativo para comprobar si está infectado. Y si pudiera detectarlo, no puede eliminarse fácilmente, ya que las particiones del sistema de Android están protegidas contra escritura.

Entre las familias de adware más prevalecientes durante 2020 se encuentran Ewind (más del 60 %), FakeAdBlocker, HiddenAd, Inoco, Agent, Dnotua, MobiDash, SplashAd, Vuad y Dowgin. Es de notar por ejemplo que Inoco está vigente aun desde 2015. La familia Ewind es un ejemplo de adware agresivo, monitorea las actividades del usuario y sus intentos por eliminarlo.

Dentro de los troyanos cuya incidencia aumentó durante 2020 estuvo la familia denominada Hqwar, la cual se encarga de descargar otros programas malignos tales como troyanos bancarios. Emplea técnicas de ofuscación con el objetivo de evadir los antivirus.

Fue de notar también el denominado xHelper, cuya principal característica es la dificultad para su eliminación, ya que vuelve a aparecer. Está asociado a otros programas malignos que elevan los privilegios de acceso en el dispositivo, donde por ejemplo, realizan cambios en el proceso de reseteo de fábrica, dejando pocas oportunidades al usuario de eliminarlo sin ayuda especializada.

El número de troyanos bancarios se duplicó en 2020 respecto a 2019. Entre las familias más notables se encuentran Agent, Wroba, Rotexy, Anubis, Faketoken, Zitmo, Knobot, Gustuff, Cebruser y Asacub. Wroba es de origen coreano, se propaga mediante smishing, o sea, envío de falsos mensajes de texto de una compañía de logística.

El ramsomware para móviles disminuyó en 2020 respecto a 2019, pero una de las causas es que los atacantes los convirtieron en troyanos bancarios o una combinación de estos con ransomware. Además, las versiones actuales de Android evitan que las aplicaciones bloqueen la pantalla, por lo que hacen que el ataque del ransomware sea inútil.

Se ha reportado la presencia en el país de aplicaciones que instalan extensiones a los navegadores de internet en los dispositivos móviles, algo que afecta también a las máquinas de escritorio. En este caso redireccionan el navegador y abren páginas que no solo muestran anuncios publicitarios, sino que incitan a descargar otras aplicaciones, como por ejemplo supuestos antivirus o soluciones de seguridad que no son tal.

Los productos antivirus de Segumática detectan en su mayoría los programas malignos mencionados anteriormente. En algunos casos mediante las denominadas detecciones genéricas que permiten identificar aquellas muestras que aún no han llegado a nuestra institución, a partir de patrones elaborados mediante los programas malignos que ya se tienen.

Referencias:

Chebyshev, V. (2021, Marzo 1). Mobile malware evolution 2020. Retrieved from Securelist: https://securelist.com/mobile-malware-evolution-2020/101029/

Chebyshev, V. (2020, Febrero 25). Mobile malware evolution 2019. Retrieved from Securelist: https://securelist.com/mobile-malware-evolution-2019/96280/