Android domina el panorama de malware para móviles

Fortinet reveló hoy los resultados de la investigación de su laboratorio FortiGuard sobre el panorama de amenazas para el periodo del 1 de enero al 31 de diciembre de 2013.

Android OS domina el panorama de malware para móviles

El 2013 fue un caldo de cultivo para el malware dirigido hacia dispositivos móviles. Revisando el año completo, los FortiGuard Labs observaron que Android fue la plataforma dominante elegida por los desarrolladores, presentando el 96.5% de todos los casos de infecciones de malware para móviles detectadas por los FortiGuard Labs. Distante, en segundo lugar, Symbian presentó el 3.45% y BlackBerry, iOS, PalmOS y Windows no sumaron entre ellos siquiera el 1%.

“El rápido crecimiento de malware dirigido hacia Android continúa siendo preocupante para los administradores de sistemas que han implementado una estrategia de dispositivos móviles en sus redes”, dijo Axelle Apvrille, investigador senior de antivirus para móviles en los laboratorios FortiGuard de Fortinet. “Los laboratorios FortiGuard detectaron más de 1,800 nuevas y diferentes familias de virus durante el último año, y la mayoría de ellos apuntan a la plataforma Android de Google. Mirando el crecimiento del malware para Android, vemos que hay mucho por lo cual preocuparse mientras nos adentramos en el 2014. El crecimiento no muestra señales de desaceleración; de hecho, parece estar aumentando. Mientras más dispositivos basados en Android sean comprados y puestos en línea, las oportunidades de infección de parte de los atacantes también aumentan”.

Mientras los ataques en plataformas como Symbian disminuyen, los atacantes han hecho de Android el blanco móvil número uno. El malware NewyearL.B para Android, incluido dentro de descargas aparentemente inocentes como una aplicación de linterna, continúa apuntando a millones de dispositivos y fue la familia de malware móvil número uno durante todo el año.

Usuarios inconscientes o desprevenidos que buscan probar el último juego o aplicación se encuentran, sin saberlo, compartiendo con un atacante una gran cantidad de información personal, dando lugar a molestos anuncios invasivos y otros efectos negativos, tales como permitir que el NewyearL.B. agregue o remueva íconos del sistema y modifique o borre el contenido de cualquier  dispositivo de almacenamiento externo. La distribución de malware para Android sigue acelerándose.

“Está claro que los criminales cibernéticos se están esforzando muchísimo para producir a diario cientos de miles de variaciones con la esperanza de que algunas de ellas sean implantadas con éxito en un dispositivo elegido como blanco”, concluyó Apvrille.

Las 10 principales familias de malware móvil dentro del reporte de casos

1. Android/NewyearL.B
2. Android/DrdLight.D
3. Android/DrdDream
4. Familia Android/SMSSend
5. Familia Android/OpFake
6. Android/Basebridge.A
7. Familia Android/Agent
8. Android/AndCom.A
9. Familia Android/Lotoor
10. 10. Android/Qdplugin.A

ZeroAccess: La botnet más prolífica del año

A principios del 2013, los laboratorios FortiGuard informaron acerca de la botnet ZeroAccess y cómo sus controladores estaban añadiendo sistemáticamente cerca de 100,000 nuevas infecciones por semana, llevando a los investigadores a creer que la persona o personas detrás de ella no sólo pagaban semanalmente una generosa cantidad de dinero para crear nuevas infecciones afiliadas, sino que eran capaces de generar una significativa cantidad de dinero al hacerlo.

“Al igual que otros criminales cibernéticos, los dueños de ZeroAccess han tomado páginas de los playbooks de legítimas empresas y han hecho intentos exitosos para diversificar su generación de ingresos”, dijo Richard Henderson, estratega de seguridad en los laboratorios FortiGuard de Fortinet. “Vimos versiones de 32 y de 64 bits de ZeroAccess siendo usadas para cometer fraude al hacer clic, para envenenar los motores de búsqueda y para minar el Bitcoin. Con el dramático aumento en el valor del Bitcoin durante el 2013, es probable que los dueños de ZeroAccess hayan obtenido ganancias sustanciales a espaldas de sus víctimas”.

Las 10 botnets principales dentro del reporte de casos con porcentajes de dominio general

1. ZeroAccess (88.65%)
2. Andromeda (3.76%)
3. Jeefo (3.58%)
4. Smoke (2.03%)
5. Morto (0.91%)
6. Mariposa (0.43%)
7. Waledac (0.18%)
8. IMDDOS (0.18%)
9. Mazben (0.15%)
10. 10. Torpig (0.10%)

India lidera la distribución de spam en el mundo

Los dispositivos antispam de Fortinet alrededor del mundo bloquearon durante el año pasado miles de millones de correos electrónicos no deseados (spam).

“Los spammers tratarán múltiples métodos para evitar los escáneres (rastreadores) y animar a los usuarios a hacer clic en los enlaces contenidos en sus mensajes, incluyendo mensajes de fax falsos, anuncios farmacéuticos, e-cards (tarjetas electrónicas) y archivos maliciosos adjuntos o enlaces diseñados para distribuir malware”, continuó Henderson. “Tal vez lo más interesante es cuán diversificados en el mundo están los spammers en lo que al envío de mensajes se refiere: nuestras estadísticas muestran que mientras que cerca de la mitad de todos los mensajes que vimos en el 2013 vinieron de Europa Oriental y Rusia, los países restantes en nuestra lista de los 10 principales están ubicados alrededor del mundo”.

Los 10 países principales que envían spam desde una IP sobre una base mensual según el número de incidentes reportados con porcentaje de dominio general

1. India (22.66%)
2. China (18.39%)
3. Bielorrusia (12.40%)
4. Rusia (10.27%)
5. EE.UU. (10.06%)
6. Kazajistán (6.14%)
7. España (5.37%)
8. Argentina (5.00%)
9. Ucrania (4.93%)
10. 10. Taiwán (4.78%)

ZeuS sigue siendo el rey del malware  

En términos generales de malware para computadoras personales, el troyano ZeuS tomó el primer lugar en el 2013, con más de 20 millones de intentos de infectar redes protegidas con FortiGate. ZeuS apareció por primera vez en las computadoras en el 2007 y ha sido una piedra en el zapato de los usuarios de Internet desde entonces. La fuga del 2011 del código origen de ZeuS llevó a una explosión de variantes de imitaciones por cibercriminales que buscaban hacer fortuna a costa de víctimas inocentes.

“Un interesante y nefasto desarrollo a finales del 2013 mostró a las infecciones ZeuS siendo usadas de una nueva manera”, continuó Henderson. “Mientras que ZeuS se usaba usualmente como un troyano financiero, un número significativo de infecciones ZeuS fueron usadas para distribuir y ejecutar el ransomware Cryptolocker. Éste le dio un nuevo giro a los ransomware debido a que usaba pares de claves criptográficas generadas individualmente para encriptar completamente el contenido de la computadora de la víctima, y cualquier unidad mapeada sobre la cual la víctima tuviese la habilidad de escribir. Cryptolocker le informaría entonces a la víctima que contaba con un corto periodo de tiempo para pagar un rescate significativo – a veces tanto como unos pocos cientos de dólares, y típicamente pagado únicamente con Bitcoin – antes de que la clave de cifrado usada para encriptar la computadora de la víctima fuese borrada, haciendo que los archivos de la víctima ya no pudiesen recuperarse en su totalidad”.

Las víctimas variaban entre usuarios domésticos que perdían miles de archivos de valor personal como fotografías y películas caseras, empresas de todo tipo y entidades públicas. Cryptolocker también fue visto infectando a usuarios a través de otros métodos, incluyendo flash drives infectadas, usualmente en combinación con falsas herramientas para la activación de programas comúnmente esparcidos a través de sitios de intercambio de archivos y a través de correos electrónicos con datos adjuntos infectados.

Las 10 principales familias de malware según el número de incidentes reportados

1. Familia W32/ZeuS(Zbot)
2. Familia W32/Tepfer
3. JS/FBJack.A
4. PDF/Script.JS
5. Familia W32/ZeroAccess
6. Familia W32/Kryptik
7. Familia JS/IFrame
8. W32/Yakes.B
9. X97M/Agent.F
10. Familia W32/Blocker

Vulnerabilidades de día cero

Los laboratorios FortiGuard activamente investigan y descubren vulnerabilidades de día cero en productos que son probables candidatos y que un hacker también podría hallar. Una vez que la falla es descubierta, se divulga de manera confidencial al proveedor afectado bajo los protocolos de Revelación Responsable de los Laboratorios. Desde que las investigaciones iniciaron en el 2006, los laboratorios FortiGuard han descubierto 142 vulnerabilidades de día cero. A la fecha, 14 de ellas aún continúan sin parches. En el 2013, los laboratorios descubrieron y responsablemente divulgaron 18 nuevas vulnerabilidades de ese tipo, 12 de las cuales continúan sin ser parchadas. La mayoría de estas vulnerabilidades fueron clasificadas como “importantes” o “críticas”.

El reporte completo puede descargarse aquí.